香港地區 Google Play 商店應用程式保安風險報告 (2014年2月)

發佈日期: 2014年02月27日 2237 觀看次數

香港電腦保安事故協調中心 (HKCERT) 希望了解在香港地區 Google Play 商店上應用程式的保安風險，我們與國家網絡信息安全技術研究所 (NINIS) 合作，對從Play商店下載的應用程式進行惡意及可疑行為檢測。透過 NINIS 所提供的分析結果，我們將整理並向公眾發佈相關的檢測和預警報告。

在2月份的檢測中，我們從Play商店共下載了161款應用程式，當中發現13款為高風險應用程式，其中2款應用程式 (於2月26日或之前) 已從Play商店下架。詳細報告如下。

目標範圍

香港地區排名首50款熱門免費應用程式
香港地區排名首50款最新免費應用程式
香港地區排名首50款熱門免費遊戲
香港地區排名首50款最新免費遊戲

受檢測的應用程式

成功下載並進行檢測：161款
未能成功透過系統下載：39款
取樣日期：2014年2月5日
應用程式下載列表：請參考《附錄1》 [下載]

分析概況

本次檢測過程中，系統對161款應用程式進行了不良行為檢測。根據程式行為的安全威脅程度，將其分為惡意行為和可疑行為。惡意行為指應用程式明確地存在惡意目的，並會對系統和用戶利益造成直接侵害的行為；可疑行為指應用程式存在一定安全風險，可能對系統和用戶利益造成損害，但不能直接被確認為惡意行為。

1.檢測結果

在檢測的161款應用程式中，發現其中13款為高風險應用程式。這13款應用程式共含有以下高風險行為識別，包括Android.Trojan.Generic、Android.Adware.AirPush、Android.Adware.Dowgin、Android.Adware.LeadBolt、Android.Adware.Domob、android.AdWare.KyView及ApplicUnwnt。

高風險應用程式列表

應用程式	高風險行為識別/ 廣告外掛程式	惡意程式偵測度 (由 VirusTotal 提供)	在架狀況#
1. 千寻影视版本 2.2.2 類別：熱門免費應用程式安裝次數：>250,000 高風險行為描述：獲取SIM卡序號、獲取SIM卡狀態、通過連接訪問網絡、開啟拍照程式、撥打電話和傳送手機內容等行為。	Android.Adware.Domob Android.Trojan.Generic	7/47 [連結]	在架
2. 千寻影视HD 版本1.2.0 類別：熱門免費應用程式安裝次數：>250,000 高風險行為描述：獲取SIM卡序號、獲取SIM卡狀態、自動開啟藍芽、通過連接訪問網絡、開啟拍照程式、撥打電話和傳送手機內容等行為。	Android.Adware.Domob Android.Trojan.Generic	7/48 [連結]	在架
3. PPS 影音(手機版) 版本2.4.5 類別：熱門免費應用程式安裝次數：>250,000 高風險行為描述：獲取SIM卡序號、獲取SIM卡狀態、通過連接訪問網絡、開啟拍照程式、撥打電話和傳送手機內容等行為。	Android.Adware.LeadBolt Android.Adware.AirPush	8/45 [連結]	在架
4. 酷狗音乐播放器版本6.2.1 類別：熱門免費應用程式安裝次數：>250,000 高風險行為描述：獲取SIM卡狀態、讀取電話號碼、自動開啟WiFi、通過連接訪問網絡、開啟拍照程式和傳送手機內容等行為。	Android.Trojan.Generic Android.AdWare.KyView	8/44 [連結]	在架
5. Happy Horse New Year Free LWP 版本1.0.1 類別：最新免費應用程式安裝次數：10,000-50,000 高風險行為描述：獲取SIM卡服務供應商名稱、讀取電話號碼、自動開啟攝像鏡頭、通過連接訪問網絡和傳送手機內容等行為。	Android.Adware.AirPush ApplicUnwnt	7/50 [連結]	在架
6. My Little Gourmet-BabyBus 版本4.23 類別：最新免費應用程式安裝次數：50,000-250,000 高風險行為描述：獲取SIM卡服務供應商名稱、獲取SIM卡序號、獲取SIM卡狀態、通過連接訪問網絡、開啟拍照程式、撥打電話和傳送手機內容等行為。	Android.Trojan.Generic Android.Adware.KyView	11/47 [連結]	在架
7. New Year Frame 版本10.2 類別：最新免費應用程式安裝次數：1,000-5,000 高風險行為描述：獲取SIM卡服務供應商名稱、獲取SIM卡序號、通過連接訪問網絡、開啟拍照程式、撥打電話和傳送手機內容等行為。	Android.Adware.AirPush Android.Trojan.Generic	10/50 [連結]	在架
8. Chinese New Year Camera 版本1 類別：最新免費應用程式安裝次數：1,000-5,000 高風險行為描述：讀取電話號碼、通過連接訪問網絡、撥打電話和傳送手機內容等行為。	Android.Adware.KyView Android.Trojan.Generic	10/47 [連結]	在架
9. HD Video Player 版本2 類別：最新免費應用程式安裝次數：10,000-50,000 高風險行為描述：獲取SIM卡服務供應商名稱、獲取SIM卡序號、獲取SIM卡狀態、通過連接訪問網絡、開啟拍照程式、撥打電話和傳送手機內容等行為。	Android.Adware.Adwo Android.Adware.Dowgin	13/48 [連結]	在架
10. 陪睡夜勤病栋七濑恋-特别篇版本1 類別：熱門免費遊戲安裝次數：50,000-250,000 高風險行為描述：獲取SIM卡序號、獲取SIM卡狀態、自動開啟攝像鏡頭、通過連接訪問網絡、撥打電話和傳送手機內容等行為。	Android.Trojan.Generic Android.Adware.Domob	16/50 [連結]	已下架
11. My Talking Tom 版本1.3.1 類別：熱門免費遊戲安裝次數：>250,000 高風險行為描述：獲取SIM卡序號、獲取SIM卡狀態、通過連接訪問網絡、開啟拍照程式、撥打電話和傳送手機內容等行為。	Android.Trojan.Generic Android.Adware.Dowgin	9/48 [連結]	在架
12. Candy Star 版本1.0.6 類別：最新免費遊戲安裝次數：>250,000 高風險行為描述：獲取SIM卡服務供應商名稱、獲取SIM卡狀態、讀取電話號碼、通過連接訪問網絡、開啟拍照程式、撥打電話和傳送手機內容等行為。	Android.Adware.AirPush Android.Adware.LeadBolt	11/49 [連結]	在架
13. Stickman: Prison Break 版本1.4.3 類別：最新免費遊戲安裝次數：>250,000 高風險行為描述：獲取SIM卡狀態、通過連接訪問網絡、撥打電話和傳送手機內容等行為。	Android.Trojan.Generic Android.Adware.Dowgin	9/50 [連結]	已下架

註(#)：應用程式的在架狀況檢查於2月26日。應用程式的下架情況與本報告並無直接關係。

2.高風險行為識別及廣告外掛程式

高風險行為識別/外掛程式	高風險行為
Android.Trojan.Generic	它是一個惡意的後門木馬，在背後運作，並允許遠端存取受影響的系統。它可收集和竊取的敏感資料，例如：互聯網活動、帳號/密碼設定、地理位置，以及裝置識別碼 (IMEI)等。
Android.Adware.Dowgin	一種綁定在應用程式中的廣告軟件，可竊取使用者手機號碼、電郵地址等一些個人私隱資料。
ApplicUnwnt	該高風險程式與Android.Trojan.Generic一樣是一款木馬程式，在背後收集和竊取個人敏感資料。
Android.Adware.AirPush	這是一個廣告框架，它會積極推送廣告到裝置的通知欄，也可修改瀏覽器的書簽，並可刪除裝置主螢幕上的圖示。這些廣告會向用戶索取金錢。一些通知欄廣告會誘騙使用者訂閱短信服務，而支付費用。三種常見的誤導性的廣告活動：1) 假貨市場 2) 假冒免費電話 3) 假冒系統通知。
Android.Adware.LeadBolt	這是一款高風險廣告插件，可以竊取用戶私隱，主要包括手機號碼、通話記錄、地理位置等敏感資料。
Android.Adware.Domob	這是一款高風險廣告插件，可以竊取用戶私隱，主要包括手機號碼、通話記錄、地理位置等敏感資料。
Android.AdWare.KyView	這是一款高風險廣告插件，可以竊取用戶私隱，主要包括手機號碼、通話記錄、地理位置等敏感資料。

3.高風險應用程式深度分析

請參考《附錄2》 [下載]

分享至

濫用公開網絡服務進行分散式反射阻斷服務（DRDoS）攻擊

2014年02月24日 5985 觀看次數

每週最愛保安閱讀 (2014年02月28日)

2014年02月28日 1177 觀看次數