超級木馬看一眼就中招,半數 Android 手機身處險境

對於一個手機木馬來説,這是最好的時代,也是最壞的時代。

引用
  • 説是最好的時代,因為絕大多數人都擁有至少一部手機,它們都是木馬的獵物。
  • 説是最壞的時代,因為手機系統的安全係數正在以指數級的速度增長。如今木馬想要搞定一部手機,要付出的艱辛一點兒都不亞於歷史上真實木馬中的希臘戰士攻陷特洛伊。

危險的三道門

迫於“技術限制”,大多數木馬不可能為所欲為。在“敲詐木馬界”,一個通用的套路就是“打開三道門”:

引用第一道門:黑客利用各種渠道發送釣魚鏈接給受害者,受害者在誘騙之下點擊了鏈接,從而下載了惡意 App。

第二道門:隨後這個惡意 App 會請求用户安裝,用户需要同意。

第三道門:在安裝的過程中,它還會向用户請求諸多權限,而粗心的用户可能會不假思索地授權。

得到授權之後的惡意 App 可謂如虎添翼,兇相畢露。它會鎖住用户的手機,然後向受害者索要比特幣贖金。

可以看到,這樣的敲詐木馬想要最終成功,大概需要和用户進行三次互動。而每一次互動都非常可能讓受害者警覺。所以就實際情況而言,這種敲詐的成功率比你想象得要低。


【手機敲詐軟件的勒索信/圖片來自騰訊電腦管家】

漏洞,黑客的解藥

如果一個敲詐木馬需要和用户互動三次,這大概就像一個小偷去偷東西還要按門鈴。作為一個“有理想”的敲詐木馬,它的目標就是幹掉和用户的這三次互動,採用“溜門撬鎖”的方法進入核心地帶。

從木馬的角度來看,此時漏洞就是它的解藥。Android 系統可能存在各個層面的漏洞,然而絕大多數漏洞的目的都集中在兩個點上:“代碼執行”和“提權”。

引用
  • 如果想讓用户在不知不覺中下載惡意木馬,需要依靠“代碼執行”漏洞,這就打開了上述的第一道門。
  • 如果想實現後台靜默安裝和取得權限,則需要“提權”漏洞,這就打開了上述的第二和第三道門。

事實上,打開這三道門遠不如説起來這麼簡單。首先,這個“代碼執行漏洞”必須是質量非常高的“遠程代碼執行漏洞”。顧名思義,必須由遠端的服務器下發指令,實現本地手機上的代碼執行。其次,“提權漏洞”必須把敲詐木馬的權限提升到 Root 級別,才能實現全程靜默安裝。

這樣的漏洞如同高精尖的武器,昂貴而難以獲得。就算是黑客手上擁有這樣的高質量漏洞,它的使用窗口也是有限的。因為 Android 的親爹Google並不是吃素的。為了對抗層出不窮的木馬,Google每月都會為Android系統發佈官方更新補丁,封堵黑客們辛苦挖掘出來的漏洞。

然而,有一個悲傷的事實:對於天朝的童鞋來説,出於你懂的和不懂的原因,使用Google原生系統的人如鳳毛麟角。大多數人會使用手機廠商深度定製的系統,例如 MIUI、Flyme、Smartisan OS,它們的升級頻率和原生 Android 的步調是脱鈎的。

其實,在世界範圍內,這個問題也是相當嚴重。截止到2016年2月1日,Android 的最新版本 6.0 的普及率才剛剛超過1%,而 4.4 版本的安裝率仍然高居35.5%。這意味着,大多數 Android 手機存在着未被修復的安全漏洞,暴露在木馬的槍口之下。


看一眼就懷孕的“網絡警察”

最近安全研究員們發現了一種名為網絡警察(Cyber.Police)的木馬變種,它的表現可謂讓人“印象深刻”。

這個木馬會隱藏在網頁的廣告代碼之中。它的可怕之處在於,用户根本不需要進行下載這個動作。當你看到這條廣告的時候,木馬已經通過遠程漏洞將一段代碼下載到你的手機上,並且自動執行了。

這段代碼的核心來自著名暴力 Root 軟件“Towelroot”,它可以在後台悄無聲息地拿到系統的 Root 權限。一旦拿到 Root 權限,就相當於買通了你的大管家,小偷從此可以自由出入你的豪華別野了。

接下來你的手機會被靜默安裝敲詐 App,這個 App 會在你的手機上置頂一張圖片,顯示你如果想要解鎖,需要為黑客買兩張價值100美金的 iTunes 禮品卡。(當然,你也可以選擇買四張50美金的禮品卡。。。)此時你無論點擊什麼位置,都將無效。


【手機被鎖定界面】

在“網絡警察”整個的勒索過程中,用户完全不知情,直到木馬完成鎖定,受害者才恍然大悟。

360安全專家卞松山告訴雷鋒網,

引用之所以“網絡警察”能夠做得這麼幹淨利落,是因為他們使用了一個非常有殺傷力的遠程代碼執行漏洞,這些漏洞很早就被大名鼎鼎的網絡軍火商“Hacking Team”使用,2015年7月份隨着 HackingTeam數據泄露,被大眾所知。自那時開始,這些漏洞的分析和漏洞利用代碼,很容易就可以在Internet被訪問到。

在著名漏洞平台烏雲上,雷鋒網找到了對於這個漏洞利用的詳細技術分析(感興趣的童鞋戳這裏)。通過這個分析可以看出,黑客連木馬的名字都沒有改動,就直接加以利用。

卞松山説,

引用這個木馬比較新鮮的地方是利用這些已公開的技術做出了新的攻擊手法,在用户完全不知道的情況下,自動下載木馬並安裝。

雖然在漏洞泄露之後,Google在第一時間封堵了這個漏洞。但是,正因為 Android 系統碎片化極其嚴重,這個漏洞在 Android 4.0.3-4.4.4 上依然完美奏效。

這意味着,全球有一半的 Android 手機可以被這個木馬攻擊。

美國安全公司 Blue Coat 的專家表示,

引用如果不幸中招,其實並沒有必要按照黑客的要求支付贖金。通過刷機模式把手機恢復出廠設置就是一個很好的解決方案。當然,在刷機之前不要忘記連接電腦備份你的重要資料。

需要注意的是,如果直接通過電腦把手機升級系統到 Android 4.4.4 以上是不奏效的,因為敲詐 App 對系統的鎖定已經完成,而升級系統是不會對 App 造成影響的。

目前這個木馬的攻擊以歐美國家為主,卞松山告訴雷鋒網(搜索“雷鋒網”公眾號關注):

引用雖然在中國也存在這種類似功能的木馬,但是就木馬傳播的方式而言,在國內暫時還沒有發現類似的案例。

實際上,網絡警察所使用的提權漏洞,對天朝的童鞋來説並不陌生。你還記得困擾你多時的全家桶嗎?你安裝了一個 App,在沒有進行任何授權的情況下, 卻發現手機裏多了同一家族的諸多 App。沒錯,這些全家桶廠商所利用的技術,和敲詐木馬基本一致。只不過他們還沒有下流到直接向用户要禮品卡的程度。

對於用户來説,有一個好消息。那就是目前絕大多數黑客所掌握的高危漏洞都集中在較低版本的 Android 系統上。如果你想保住自己手機的貞操,不讓流氓們隨意進出的話,最好想辦法跟上Google升級系統的節奏。


資料來源:雷鋒網
作者/編輯:史中·方槍槍

如果喜歡我們的文章,請即分享到︰

標籤: Android