跳至主內容

香港地區 Google Play 商店應用程式保安風險報告 (2014年4月)

發佈日期: 2014年04月28日 1632 觀看次數

 

香港電腦保安事故協調中心 (HKCERT) 希望了解在香港地區 Google Play 商店上應用程式的保安風險,我們與國家網絡信息安全技術研究所 (NINIS) 合作,對從Play商店下載的應用程式進行惡意及可疑行為檢測。透過 NINIS 所提供的分析結果,我們將整理並向公眾發佈相關的檢測和預警報告。

 

在4月份的檢測中,我們從Play商店共下載了150款應用程式,當中發現8款為高風險應用程式,沒有應用程式 (於4月28日或之前) 從Play商店下架。詳細報告如下。

 

目標範圍

  • 香港地區排名首50款熱門免費應用程式
  • 香港地區排名首50款最新免費應用程式
  • 香港地區排名首50款熱門免費遊戲
  • 香港地區排名首50款最新免費遊戲

 

受檢測的應用程式

  • 成功下載並進行檢測:150款
  • 未能成功透過系統下載:50款
  • 取樣日期:2014年4月5日
  • 應用程式下載列表:請參考《附錄1》 [下載]

 

分析概況

 

本次檢測過程中,系統對150款應用程式進行了不良行為檢測。根據程式行為的安全威脅程度,將其分為惡意行為和可疑行為。惡意行為指應用程式明確地存在惡意目的,並會對系統和用戶利益造成直接侵害的行為;可疑行為指應用程式存在一定安全風險,可能對系統和用戶利益造成損害,但不能直接被確認為惡意行為。

 

1.檢測結果

 

在檢測的150款應用程式中,發現其中8款為高風險應用程式。這8款應用程式共含有以下高風險行為識別,包括Android.Trojan.Generic、Android.Adware.AirPush.A、ApplicUnwnt、Android.Adware.Domob、Android.Adware.LeadBolt、Android.Adware.Waps.l.Gen 及 Android/AdLoad.B.Gen 等。

 

高風險應用程式列表

 

應用程式

高風險行為識別/
廣告外掛程式

惡意程式偵測度 (由VirusTotal提供)

在架狀況#

1. 千寻影视HD  版本 1.2.2

類別:熱門免費應用程式
安裝次數:>250,000
高風險行為描述:
獲取SIM卡序號、獲取SIM卡狀態、讀取電話號碼、通過連接訪問網絡、開啟拍照程式、撥打電話和傳送手機內容等行為。

AndroidOS.Domob
Adware/ANDR.Waps.I.Gen

8/50 [連結]

在架

2. PPS影音(HD版本1.6.1

類別:熱門免費應用程式
安裝次數:>250,000
高風險行為描述:
獲取SIM卡序號、獲取SIM卡狀態、通過連接訪問網絡、開啟拍照程式、撥打電話和傳送手機內容等行為。

AndroidOS.Domob
Android.Trojan.Generic

10/50 [連結]

在架

3. 蝦米音樂播放器  版本3.0.2

類別:最新免費應用程式
安裝次數:10,000-50,000
高風險行為描述:
獲取SIM卡服務供應商名稱和通過連接訪問網絡等行為。

Android.Adware.AirPush
Android/AdLoad.B.Gen

10/48 [連結]

在架

4. Talking Larry the Bird Free  版本3

類別:最新免費應用程式
安裝次數:>250,000
高風險行為描述:
獲取SIM卡序號、獲取SIM卡狀態、讀取電話號碼、自動開啟藍芽、自動開啟錄音、通過連接訪問網絡、開啟拍照程式、撥打電話和傳送手機內容等行為。

Android.Adware.AirPush
AndroidOS.Domob

6/49 [連結]

在架

5. Xray Scanner  版本5

類別:最新免費應用程式
安裝次數:>250,000
高風險行為描述:
獲取SIM卡服務供應商名稱、獲取SIM卡狀態、通過連接訪問網絡、撥打電話和傳送手機內容等行為。

Android.Adware.AirPush

8/49 [連結]

在架

6. 無損音樂免費聽,無限量下載酷狗精品歌單  版本3.0.2.1.1

類別:最新免費應用程式
安裝次數:1,000-5,000
高風險行為描述:
獲取SIM卡服務供應商名稱、獲取SIM卡狀態、通過連接訪問網絡和傳送手機內容等行為。

Android/AdLoad.B.Gen Android.Trojan.Generic

11/48 [連結]

在架

7. Swap The Box  版本1.0.4

類別:熱門免費遊戲
安裝次數:>250,000
高風險行為描述:
獲取SIM卡狀態、自動開啟藍芽、自動開啟攝像鏡頭、自動開啟錄音、通過連接訪問網絡、開啟拍照程式、撥打電話和傳送手機內容等行為。

ApplicUnwnt
Android.Adware.LeadBolt

11/51 [連結]

在架

8. SWAT Strike  版本1

類別:最新免費遊戲
安裝次數:>250,000
高風險行為描述:
獲取SIM卡狀態、讀取電話號碼、自動開啟藍芽、自動開啟攝像鏡頭、通過連接訪問網絡、開啟拍照程式、撥打電話和傳送手機內容等行為。

Android.Adware.AirPush Adware/ANDR.Waps.I.Gen

16/51 [連結]

在架

 
註(#):應用程式的在架狀況檢查於4月28日。應用程式的下架情況與本報告並無直接關係。
 
2.高風險行為識別及廣告外掛程式
 

高風險行為識別/外掛程式

高風險行為

Android.Adware.AirPush

這是一個廣告框架,它會積極推送廣告到裝置的通知欄,也可修改瀏覽器的書簽,並可刪除裝置主螢幕上的圖示。這些廣告會向用戶索取金錢。一些通知欄廣告會誘騙使用者訂閱短信服務,而支付費用。三種常見的誤導性的廣告活動:1) 假貨市場 2) 假冒免費電話 3) 假冒系統通知。

Android.Trojan.Generic.A

它是一個在後台執行的木馬,並允許遠端存取受影響的系統。它可收集和竊取的敏感資料,例如:互聯網活動、帳號/密碼設定、地理位置,以及裝置識別碼 (IMEI)等。

ApplicUnwnt

該高風險程式與Android.Trojan.Generic一樣是一款木馬程式,在背後收集和竊取個人敏感資料。

Android.Adware.Waps.l.Gen

這是一款廣告木馬,可以在執行後彈出廣告,修改瀏覽器啟動和搜尋界面,將用戶原有設定的網站導向新的搜尋網站。

Android.Adware.Domob

這是一款高風險廣告插件,可以竊取用戶私隱,主要包括手機號碼、通話記錄、地理位置等敏感資料。

Android.Adware.LeadBolt

這是一款高風險廣告插件,可以竊取用戶私隱,主要包括手機號碼、通話記錄、地理位置等敏感資料。

Android/AdLoad.B.Gen

這是一款高風險廣告插件,可以在程序執行中下載並在工具欄顯示廣告,跟踪手機的網絡使用情況。

 
3.高風險應用程式深度分析
 
請參考《附錄2》 [下載]