總部位于舊金山的移動安全公司Lookout近日將在Android平臺發(fā)現(xiàn)的廣告軟件標(biāo)記為“特洛伊廣告木馬”,設(shè)備感染之后就會使用各種漏洞進(jìn)行root,在獲得更高權(quán)限之后會繼續(xù)自我安裝。今年9月中旬獵豹移動公司首次發(fā)現(xiàn)了GhostPush(Shedun);隨后FireEye發(fā)現(xiàn)了Kemoge(ShiftyBug),而現(xiàn)在Lookout發(fā)現(xiàn)的則是第三個惡意程序變種,他們將其命名為Shuanet。
通過對這三款衍生惡意程序代碼的分析,安全研究人員發(fā)現(xiàn)Shuanet和GhostPush和Kemoge的的代碼相似度分別達(dá)到了71%和82%。除了共享的代碼技術(shù)之外,這三款惡意程序都使用了三個通用漏洞來root Android設(shè)備,分別為Memexploit, Framaroot和ExynosAbuse。盡管這三個惡意程序的源代碼非常相似,但是Lookout并不認(rèn)為都是同一個惡意程序團(tuán)隊所為。
Shuanet的工作方式和此前兩款惡意程序非常相似,首先攻擊者從Google Play商城上下載多款熱門的應(yīng)用程序,重新編譯增加Shuanet惡意程序,隨后將其上傳到其他Android應(yīng)用商城,而且顯然不會被任何安全掃描技術(shù)發(fā)現(xiàn)。Lookout團(tuán)隊表示目前已經(jīng)有超過2萬款A(yù)ndroid應(yīng)用感染,目前受影響國家主要有美國、德國、伊朗、俄羅斯、印度、牙買加、蘇丹、巴西、墨西哥和印度尼西亞。
京公網(wǎng)安備 11010502049343號