新型 Android 木馬病毒出現,幾乎無法被刪除
研究人員最近發現了一種新型的 Android 惡意廣告木馬病毒程序,而想要卸載這個程序卻是幾乎不可能的。這個程序可以假扮成不同軟件供應商的產品,比如 Twitter、Facebook 或者 Okta(一款雙重認證服務)。用户的手機在感染病毒後可能陷入潛在危險,使得黑客能夠利用 Root 權限獲取信息。
研究人員已經在 Google Play 的官方應用中發現了超過 20000 個受感染的應用樣本。這些應用的代碼或者其他功能被人惡意篡改,然後被髮布到了第三方市場之中。從終端用户角度來看,被篡改過的應用和原始的正常應用非常相似。在很多樣本中,包含病毒的應用與正常的官方應用具備相同的功能和用户體驗。然而,被篡改的應用卻可以在後台利用強大的漏洞獲取 Android 操作系統的 root 權限。
人們先後在 Shedun、Shuanet 和 ShiftyBug 這三個惡意程序中發現了病毒漏洞。這個漏洞使得被篡改的應用能夠以系統應用的身份將自己安裝到用户設備內,享有高度權限。而一般情況下,只有操作系統級別的進程才能享有如此高級別的權限。
移動安全公司 Lookout 的研究人員在本週三發佈的博客中寫道:「對於個人用户而言,設備感染 Shedun、Shuanet 和 ShiftyBug 惡意程序是一場惡夢,這或許是意味着你要重新買一個新的設備。這些惡意廣告程序可以對系統進行 root,並以系統應用的身份將自己安裝到設備內。我們幾乎不可能刪除這些應用和病毒,所以如果用户想要設備恢復正常就必須更換新的設備。」
Lookout 公司的研究人員表示,這些惡意應用不僅僅彈出廣告,還獲取系統級別地位和 root 權限。這樣一來,它們可以顛覆 Android 系統內建的關鍵性安全機制。比如 Android 系統存在一個我們都知道的沙箱機制,在沙箱內的 Android 應用無法獲取其他應用的密碼和數據。但是,可以進行 root 操作的的系統應用享有在用户之上的權限,這使得它們能夠打破沙箱。如此一來,root 級別的應用就能完成普通應用無法實現的功能:閲讀或者修改數據和資源。
Lookout 公司在博客中寫道:「最初我們很好奇為什麼有人想要篡改企業級雙重認證應用以便彈出廣告,卻沒有利用這機會獲取和泄露用户的認證信息。但觀察病毒指揮和控制服務器的分佈規律之後,我們發現這類惡意程序從 Google Play 這樣頂級的應用商店和本地應用商店中獲取了成千上萬的人們應用並進行了篡改。有意思的是,製造病毒的黑客在篡改正常應用時刻意將殺毒軟件排除在外,這説明他們在創造病毒之初就已經做好了詳盡的計劃。」
黑客首先從 Google Play 中下載人們飲用,然後用惡意代碼對其進行篡改。之後,黑客再將其發佈到第三方網站之中。Lookout 公司在美國、德國、伊朗、俄羅斯、印度、牙買加、蘇丹、巴西、墨西哥和印度尼西亞都發現了大量感染病毒的應用。該公司的報告強調,使用第三方市場應用存在潛在風險。目前還沒有跡象表明被篡改的應用通過 Google 審核從而進入 Google Play 應用商店。其實,這樣包含病毒的惡意軟件每年都會出現幾十次。如果惡意軟件中隱藏了 Lookout 公司發現的病毒,那麼他們將造成特別巨大的損害。
在很多案例中,含病毒的惡意軟件利用多種 root 漏洞,從而可以有針對性地攻擊受感染手機型號所特定的系統弱點。比如 ShiftyBug 就包含了最少 8 個獨立的 root 漏洞。諸如 Memexploit、Framaroot 和 ExynosAbuse 這樣的漏洞已經被公開出來,而正規軟件供應商也會使用這些漏洞幫助 Android 用户對手機實現 root 刷機操作。這樣一來,Android 用户就可以跨越製造商和運營商設置的障礙,更好的使用手機。
Lookout 公司目前一經發現了超過 20000 個惡意軟件樣本,而我們還不清楚 Shedun、Shuanet 和 ShiftyBug 這三個病毒各自發揮了怎樣的作用。同一病毒的變種之間代碼非常類似,通常有 71% 到 82% 的代碼是相同的。
* 文章來源:arstechnica 本文由 TECH2IPO / 創見 @Frederick 編譯,首發於 TECH2IPO / 創見(http://tech2ipo.com/) 轉載請保留此信息
資料來源:TECH2IPO