新型 Android 木马病毒出现,几乎无法被删除
发布时间:2015-11-06
来源:创见
450
研究人员最近发现了一种新型的 Android 恶意广告木马病毒程序,而想要卸载这个程序却是几乎不可能的。这个程序可以假扮成不同软件供应商的产品,比如 Twitter、Facebook 或者 Okta(一款双重认证服务)。用户的手机在感染病毒后可能陷入潜在危险,使得黑客能够利用 Root 权限获取信息。
研究人员已经在 Google Play 的官方应用中发现了超过 20000 个受感染的应用样本。这些应用的代码或者其他功能被人恶意篡改,然后被发布到了第三方市场之中。从终端用户角度来看,被篡改过的应用和原始的正常应用非常相似。在很多样本中,包含病毒的应用与正常的官方应用具备相同的功能和用户体验。然而,被篡改的应用却可以在后台利用强大的漏洞获取 Android 操作系统的 root 权限。
人们先后在 Shedun、Shuanet 和 ShiftyBug 这三个恶意程序中发现了病毒漏洞。这个漏洞使得被篡改的应用能够以系统应用的身份将自己安装到用户设备内,享有高度权限。而一般情况下,只有操作系统级别的进程才能享有如此高级别的权限。
移动安全公司 Lookout 的研究人员在本周三发布的博客中写道:「对于个人用户而言,设备感染 Shedun、Shuanet 和 ShiftyBug 恶意程序是一场恶梦,这或许是意味着你要重新买一个新的设备。这些恶意广告程序可以对系统进行 root,并以系统应用的身份将自己安装到设备内。我们几乎不可能删除这些应用和病毒,所以如果用户想要设备恢复正常就必须更换新的设备。」
Lookout 公司的研究人员表示,这些恶意应用不仅仅弹出广告,还获取系统级别地位和 root 权限。这样一来,它们可以颠覆 Android 系统内建的关键性安全机制。比如 Android 系统存在一个我们都知道的沙箱机制,在沙箱内的 Android 应用无法获取其他应用的密码和数据。但是,可以进行 root 操作的的系统应用享有在用户之上的权限,这使得它们能够打破沙箱。如此一来,root 级别的应用就能完成普通应用无法实现的功能:阅读或者修改数据和资源。
Lookout 公司在博客中写道:「最初我们很好奇为什么有人想要篡改企业级双重认证应用以便弹出广告,却没有利用这机会获取和泄露用户的认证信息。但观察病毒指挥和控制服务器的分布规律之后,我们发现这类恶意程序从 Google Play 这样顶级的应用商店和本地应用商店中获取了成千上万的人们应用并进行了篡改。有意思的是,制造病毒的黑客在篡改正常应用时刻意将杀毒软件排除在外,这说明他们在创造病毒之初就已经做好了详尽的计划。」
黑客首先从 Google Play 中下载人们饮用,然后用恶意代码对其进行篡改。之后,黑客再将其发布到第三方网站之中。Lookout 公司在美国、德国、伊朗、俄罗斯、印度、牙买加、苏丹、巴西、墨西哥和印度尼西亚都发现了大量感染病毒的应用。该公司的报告强调,使用第三方市场应用存在潜在风险。目前还没有迹象表明被篡改的应用通过 Google 审核从而进入 Google Play 应用商店。其实,这样包含病毒的恶意软件每年都会出现几十次。如果恶意软件中隐藏了 Lookout 公司发现的病毒,那么他们将造成特别巨大的损害。
在很多案例中,含病毒的恶意软件利用多种 root 漏洞,从而可以有针对性地攻击受感染手机型号所特定的系统弱点。比如 ShiftyBug 就包含了最少 8 个独立的 root 漏洞。诸如 Memexploit、Framaroot 和 ExynosAbuse 这样的漏洞已经被公开出来,而正规软件供应商也会使用这些漏洞帮助 Android 用户对手机实现 root 刷机操作。这样一来,Android 用户就可以跨越制造商和运营商设置的障碍,更好的使用手机。
Lookout 公司目前一经发现了超过 20000 个恶意软件样本,而我们还不清楚 Shedun、Shuanet 和 ShiftyBug 这三个病毒各自发挥了怎样的作用。同一病毒的变种之间代码非常类似,通常有 71% 到 82% 的代码是相同的。
* 文章来源:arstechnica 本文由 TECH2IPO / 创见 @Frederick 编译,首发于 TECH2IPO / 创见(http://tech2ipo.com/) 转载请保留此信息
