据报道,网络犯罪分子已经在Google Play该应用程序植入了具有恶意代码的木马应用程序,以避免安全检测。
近年来,Google Play商店在监管恶意软件方面做得更好,提高了网络攻击者的入侵难度,但隐藏的木马程序仍不时出现。Abstract Emu就是这样一种木马病毒,是最近发现的伪装成实用应用的威胁,可以通过root漏洞获得对Android完全控制设备。
安全服务商Lookout公司的研究人员在最近的一项分析中说:“这是一个重大发现,因为在过去的五年里,root恶意软件的权限变得罕见。Android随着生态系统的成熟,影响大量设备的安全漏洞越来越少,对威胁行为者的用途也越来越小。”
Abstract Emu出现在Google Play、Amazon Appstore、Samsung GalaxyStore以及其他使用较少的应用商店,如Aptoide和APKPure。这通常提醒企业和移动设备用户要小心。虽然从值得信赖的应用商店下载的应用程序显著降低了损坏移动设备的可能性,但它不是一种灵丹妙药,需要额外的保护和监控。选择提供定期及时操作系统安全补丁的设备非常重要,限制设备上的应用程序数量,删除不必要的应用程序。
出于经济动机的全球运动
Lookout研究人员说,Abstract Emu发现恶意软件存在于19个伪装成密码管理器、应用程序启动器、数据保护程序、环境照明广告拦截等应用程序中。其中一些名称包括Anti-ads Browser、Data Saver、Lite Launcher、My Phone、Night Light、All Passwords和Phone Plus。例如,Lite Launcher在下架时在Google Play下载量超过1万次。
所有的应用程序似乎都是完整的,这表明它们可能是恶意修改和重命名的合法应用程序。除了上传到各种应用商店外,研究人员还发现这些应用程序在社交媒体和社交媒体上Android英语主要用于相关论坛,但也发现了越南语广告。
研究人员说:“除了应用程序的无针对性分发外,通过root访问授予的广泛权限与我们之前观察到的其他经济动机的威胁一致。这包括银行木马程序的共同权限请求,使他们能够通过SMS发送或在后台运行,并启动在线钓鱼攻击的任何双因素身份验证代码。还有允许与设备远程交互的权限,如捕获屏幕上的内容和访问无障碍服务,使威胁行为者能够与包括金融应用程序在内的设备上的其他应用程序交互。两者都相似Anatsa和Vultur恶意软件系列请求的权限。”
来自至少17个国家或地区的用户受到这种新木马的影响。虽然越来越广泛的网络目标和其他方面显示了其经济动机,但恶意软件的间谍软件具有广泛的功能,也可用于其他目的。不幸的是,研究人员无法检索命令和控制服务器提供的最终有效载荷,以确认网络攻击者的目标。
Rooting、反仿真和动态有效载荷
分布在应用商店Abstract Emul应用程序包括试图确定应用程序是在模拟环境中还是在真实设备上运行的代码。Google Play许多其他安全供应商也会在扫描代码之前执行模拟器中提交的应用程序。这些检查类似于名称Emulator Detector检查开源库,包括检查设备的系统属性、已安装的应用程序列表和文件系统。
一旦应用程序确定它在真实设备上运行,它将开始与网络攻击者的服务器通信,并上传其他设备信息,包括制造商、型号、版本、序列号、电话号码IP地址、时区和帐户信息。
然后,服务器将使用该设备信息来确定应用程序是否应该尝试设备root操作——通过利用漏洞获得完全管理权限(root)。该应用程序以编码的形式捆绑了几个漏洞,其执行顺序由命令和控制服务器响应决定。
Abstract Emu包括更新和更旧root漏洞:CVE-2020-0069、CVE-2020-0041、CVE-2019-2215(Qu1ckr00t)、CVE-2015-3636(PingPingRoot)和CVE-2015-1805(iovyroot)。
CVE-2020-0069联发科命令队列驱动程序CMDQ驱动程序)中的一个特权升级漏洞影响了数百万台基于联发科芯片组的设备,不同厂商使用。这个漏洞已经在2020年3月修复了,但是从那以后,不再支持,没有从厂家获得安全更新的设备仍然容易受到攻击。
CVE-2020-0041也是2020年3月修复的特权升级漏洞,但会影响Android Binder组件。限制因素是只有较新的内核版本才有这个漏洞,而且许多Android设备采用旧核心。
近几年,很多Android及时发布厂家Android在安全更新方面取得了进展,旗舰机型,但Android碎片化的生态系统仍然是一个问题。
制造商有多条产品线,每条产品线都有不同的芯片组和自定义固件。因此,即使谷歌每月发布补丁,也可能需要几天到几个月的时间来整合这些补丁,并为如此多样化的设备组合提供固件更新。一般来说,更新和更高端的设备可以更快地获得补丁,但不同制造商的补丁时间可能会有很大的不同。虽然具有植入功能的恶意软件不如Android早期应用如此有效,可以解释其近年来的衰落,但许多设备更新的补丁仍然落后于恶意软件的开发,甚至很容易Abstract Emu漏洞攻击已经存在一年了。
特洛伊木马使用root也使用过程Magisk复制的shell脚本和二进制文件,Magisk它是一种开源解决方案,不修改系统分区,更难检测Android手机进行root。如果root成功,shell脚本会默认安装一个名字Settings Storage该应用程序,包括访问联系人、电话记录、SMS新闻、位置、摄像头和麦克风。
存储应用程序本身不包含恶意功能。如果用户试图打开它,它将自动打开系统的正常设置应用程序。然而,恶意应用程序将使用其权限从命令和控制服务器执行额外有效的负载。因为网络攻击者采取了预防措施,Lookout该公司的研究人员没有从命令和控制服务器中获得这些额外的有效载荷,但该应用程序显然旨在使安全产品或APK代码扫描仪更难检测其恶意性质。
研究人员说:“尽管我们找不到Abstract Emu然而,我们对大规模分布式恶意软件活动有着宝贵的见解Android这种活动在平台成熟时变得罕见。Android或越狱iOS设备仍然是完全破坏移动设备的最具侵入性的方式。我们需要记住的是,无论是IT专业人士或消费者,移动设备是击的完美工具,因为它们有无数的功能和大量的敏感数据。”