Android平台上的惡意程式散播手法有多日新月異?究竟為什麼用戶會不知不覺地安裝了間諜程式呢?相信這次事件可以讓大家知道更多智慧型手機平台上,惡意程式的發展及入侵技巧。
今年七月時,芬蘭防毒軟體公司F-Secure發現了一個名為「Spyware:Android/SndApps」的Android間諜程式,能偷取個人資料。一開始,這支這惡意程式會以「實用小工具」或「遊戲」去包裝自己,並放到Android Market上讓人下載。
在安裝的時候,它只會要求「網路連接」的權限。可是在用戶使用一段時間之後,該程式便會提供最新的版本,讓用戶更新。這看似平常的軟體更新行為,一般用戶多半沒有防範意識,此程式就在更新版安裝時,要求其他權限,以竊取用戶的個人資料。
自那時之後F-Secure就特別留意使用此技巧的惡意程式,而今天就發現了另一個最新的威脅!
今天F-Secure發現的,是一個名為「理財記賬本」的App。這支程式之前曾在網路上供人下載了一段時間,現在卻利用「軟體更新」的方式,將用戶原有的「無毒」版程式,「加料」變成有毒的間諜軟體。以下是安裝「理財記賬本」時的情況。安裝時,程式會要求用戶核准軟體使用網路連接等權限:
安裝好之後,程式會立即通知用戶有更新版本,要求用戶下載。用戶下載及安裝新版本時,程式會有「更多的功能」……
這次,「理財記賬本」要求更多的權限,包括簡訊和多媒體簡訊的使用、手機的位置等等。問題來了,一個「理財記賬本」為什麼要知道用戶這麼多的資料呢?
安裝完成後,用戶可能會看見以下畫面,顯示程式停止了,原因可能是這個惡意軟體仍是以Android 2.2為藍本所編寫的,而測試的手機為Android 2.3版本:
之後,當「理財記賬本」奪得Root的使用權,他會安裝一個名為init.db的檔案,這個檔案雖然表面上是一個資料庫 (Database),實際上卻是一個名為「DroidKungFu」木馬惡意程式的APK安裝檔,用來進一步紀錄用戶的個人資料,甚至上載至網路(詳情可參閱 http://www.f-secure.com/weblog/archives/00002177.html):
其實,這個稱為「DroidKungFu」的木馬惡意程式已經出現了好一陣子了,這一次出現的是變種,F-Secure辨識為「Trojan:Android/DroidKungFu.C」。在我們分析App的包裝檔案和編碼時,發現這次的「理財記賬本」的威脅是最可怕的,不但可能奪得Root的使用權,在技術上也可能造成更嚴重的破壞。
F-Secure大中華區總監李力恆表示:「雖然我們在Android平台上安裝軟體時,知道軟體需要拿取什麼權限,看似很高透明度,但其實軟體為什麼要拿取這些權限並不是一般用戶容易得知的。所以,用戶必須小心分析,不要盲目接受軟體拿取權限,遇到可疑便可能要停止安裝,以防不法份子趁機偷取或破壞手機裡的資料。」
來源:DroidKungFu Utilizes an Update Attack - F-Secure Weblog : News from the Lab
0 意見:
張貼留言