近年來,Google Play商店在監(jiān)管惡意軟件方面做得更好,提高了網(wǎng)絡(luò)攻擊者的入侵難度,但精心設(shè)計(jì)的隱蔽型木馬程序仍不時(shí)出現(xiàn)。Abstract Emu就是這樣的一種木馬病毒,這是最近發(fā)現(xiàn)的一種偽裝成實(shí)用應(yīng)用程序的威脅,能夠通過root漏洞獲得對Android設(shè)備的完全控制。
安全服務(wù)商Lookout公司的研究人員在最近的一項(xiàng)分析中說:“這是一個(gè)重大發(fā)現(xiàn),因?yàn)樵谶^去五年中,具有root權(quán)限的惡意軟件變得很少見。隨著Android生態(tài)系統(tǒng)的成熟,影響大量設(shè)備的安全漏洞越來越少,從而使它們對威脅行為者的用處越來越小。”
Abstract Emu出現(xiàn)在Google Play、Amazon Appstore、Samsung GalaxyStore和其他較少使用的應(yīng)用程序商店中,如Aptoide和APKPure。這通常提醒企業(yè)和移動設(shè)備用戶小心謹(jǐn)慎,雖然從受信任的應(yīng)用程序商店下載應(yīng)用程序顯著地降低了移動設(shè)備受損的可能性,但這不是靈丹妙藥,需要額外的保護(hù)和監(jiān)控。選擇提供定期和及時(shí)操作系統(tǒng)安全補(bǔ)丁的設(shè)備非常重要,同時(shí)限制設(shè)備上的應(yīng)用程序數(shù)量,并刪除不需要的應(yīng)用程序。
出于經(jīng)濟(jì)動機(jī)的全球運(yùn)動
Lookout的研究人員表示,Abstract Emu惡意軟件被發(fā)現(xiàn)存在于19個(gè)偽裝成密碼管理器、應(yīng)用啟動器、數(shù)據(jù)保護(hù)程序、環(huán)境照明廣告攔截和其他應(yīng)用程序中。其中一些名稱包括Anti-ads Browser、Data Saver、Lite Launcher、My Phone、Night Light、All Passwords和Phone Plus。例如,Lite Launcher在下架時(shí)在Google Play上的下載量超過1萬次。
所有應(yīng)用程序似乎功能齊全,這表明它們可能是被惡意修改和重命名的合法應(yīng)用程序。除了上傳到各種應(yīng)用程序商店之外,研究人員還發(fā)現(xiàn)這些應(yīng)用程序在社交媒體和Android相關(guān)論壇上主要以英語進(jìn)行推廣,但也發(fā)現(xiàn)了一個(gè)越南語的廣告。
研究人員說:“除了應(yīng)用程序的無針對性分發(fā)之外,通過root訪問授予的廣泛權(quán)限與我們之前觀察到的其他出于經(jīng)濟(jì)動機(jī)的威脅一致。這包括銀行木馬程序的常見權(quán)限請求,使他們能夠接收通過SMS發(fā)送或在后臺運(yùn)行,并發(fā)起網(wǎng)絡(luò)釣魚攻擊的任何雙因素身份驗(yàn)證代碼。還有允許與設(shè)備進(jìn)行遠(yuǎn)程交互的權(quán)限,例如捕獲屏幕上的內(nèi)容和訪問無障礙服務(wù),這使威脅行為者能夠與設(shè)備上的其他應(yīng)用程序交互,其中包括金融應(yīng)用程序。兩者都類似于Anatsa和Vultur惡意軟件系列請求的權(quán)限。”
來自至少17個(gè)國家或地區(qū)的用戶受到了這種新木馬的影響,盡管日益廣泛的網(wǎng)絡(luò)目標(biāo)和其他方面表明了其經(jīng)濟(jì)動機(jī),但該惡意軟件的間諜軟件功能非常廣泛,也可以用于其他目的。不幸的是,研究人員無法檢索從命令和控制服務(wù)器提供的最終有效載荷以確認(rèn)網(wǎng)絡(luò)攻擊者的目標(biāo)。
Rooting、反仿真和動態(tài)有效載荷
分布在應(yīng)用商店的Abstract Emul應(yīng)用程序包含嘗試確定應(yīng)用程序是在模擬環(huán)境中還是在真實(shí)設(shè)備上運(yùn)行的代碼。這是一種重要的檢測規(guī)避策略,因?yàn)镚oogle Play會在掃描代碼之前在模擬器中執(zhí)行提交的應(yīng)用程序,許多其他安全供應(yīng)商也是如此。這些檢查類似于來自名為Emulator Detector的開源庫的檢查,包括檢查設(shè)備的系統(tǒng)屬性、已安裝的應(yīng)用程序列表和文件系統(tǒng)。
一旦應(yīng)用程序確定它在真實(shí)設(shè)備上運(yùn)行,它將開始與網(wǎng)絡(luò)攻擊者的服務(wù)器通信并上傳有關(guān)設(shè)備的其他信息,包括其制造商、型號、版本、序列號、電話號碼、IP地址、時(shí)區(qū)和帳戶信息。
然后,服務(wù)器將使用此設(shè)備信息來確定應(yīng)用程序是否應(yīng)該嘗試對設(shè)備進(jìn)行root操作——通過利用漏洞獲得完全管理權(quán)限(root)。該應(yīng)用程序以編碼形式捆綁了幾個(gè)漏洞的利用,它們的執(zhí)行順序由命令和控制服務(wù)器的響應(yīng)決定。
Abstract Emu包括較新和較舊的root漏洞:CVE-2020-0069、CVE-2020-0041、CVE-2019-2215(Qu1ckr00t)、CVE-2015-3636(PingPingRoot)和CVE-2015-1805(iovyroot)。
CVE-2020-0069是聯(lián)發(fā)科命令隊(duì)列驅(qū)動程序(或CMDQ驅(qū)動程序)中的一個(gè)特權(quán)升級漏洞,它影響了數(shù)百萬臺使用來自不同制造商的基于聯(lián)發(fā)科芯片組的設(shè)備。該漏洞已于2020年3月修補(bǔ),但自從那時(shí)起不再受支持且未從制造商處獲得安全更新的設(shè)備仍然容易受到攻擊。
CVE-2020-0041也是一個(gè)特權(quán)升級漏洞,已于2020年3月修補(bǔ),但會影響Android Binder組件。限制因素是只有較新的內(nèi)核版本才有這個(gè)漏洞,而且許多Android設(shè)備使用較舊的內(nèi)核。
近年來,許多Android廠商在及時(shí)發(fā)布Android安全更新方面取得了進(jìn)展,尤其是針對其旗艦機(jī)型,但Android生態(tài)系統(tǒng)碎片化仍然是一個(gè)問題。
制造商有多個(gè)產(chǎn)品線,每個(gè)產(chǎn)品線都有不同的芯片組和自定義固件,因此,即使谷歌公司每月發(fā)布補(bǔ)丁,為如此多樣化的設(shè)備組合集成這些補(bǔ)丁并提供固件更新也可能需要幾天到數(shù)月的時(shí)間。一般來說,較新和較高端的設(shè)備可以更快地獲得補(bǔ)丁,但不同制造商的補(bǔ)丁時(shí)間可能有很大差異。雖然具有植入功能的惡意軟件不如Android應(yīng)用早期那么有效,這可以解釋其近年來的衰落,但許多設(shè)備更新的補(bǔ)丁仍然落后于惡意軟件的發(fā)展,甚至可能容易受到Abstract Emu已經(jīng)存在一年的漏洞的攻擊。
特洛伊木馬使用的root進(jìn)程還使用從Magisk復(fù)制的shell腳本和二進(jìn)制文件,Magisk是一種開源解決方案,以不修改系統(tǒng)分區(qū)且更難檢測的方式對Android手機(jī)進(jìn)行root。如果root成功,shell腳本會默認(rèn)安裝一個(gè)名為Settings Storage的應(yīng)用程序,并在沒有用戶交互的情況下授予它侵入性權(quán)限,其中包括訪問聯(lián)系人、通話記錄、SMS消息、位置、攝像頭和麥克風(fēng)。
設(shè)置存儲應(yīng)用程序本身不包含惡意功能,如果用戶嘗試打開它,它將自動打開系統(tǒng)的正常設(shè)置應(yīng)用程序。但是,惡意應(yīng)用程序?qū)拿詈涂刂品?wù)器執(zhí)行額外的有效負(fù)載,這些負(fù)載將利用其權(quán)限。由于網(wǎng)絡(luò)攻擊者采取了預(yù)防措施,Lookout公司的研究人員沒有從命令和控制服務(wù)器獲取這些額外的有效載荷,但該應(yīng)用程序的行為顯然旨在使安全產(chǎn)品或APK代碼掃描器更難檢測其惡意性質(zhì)。
研究人員說:“雖然我們無法發(fā)現(xiàn)Abstract Emu的目的,但我們獲得了對大規(guī)模分布式惡意軟件活動的寶貴見解,隨著Android平臺的成熟,這種活動已變得罕見。植入Android或越獄iOS設(shè)備仍然是完全破壞移動設(shè)備的最具侵入性的方式。我們需要牢記的是,無論是IT專業(yè)人士還是消費(fèi)者,移動設(shè)備是犯罪分子可以利用進(jìn)行網(wǎng)絡(luò)攻擊的完美工具,因?yàn)樗鼈兙哂袩o數(shù)功能并擁有大量敏感數(shù)據(jù)。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號