据报道,网络犯罪分子已经在Google Play应用商店中植入了带有恶意代码的功能齐全的木马应用程序,以逃避安全检测。
近年来,Google Play商店在监管恶意软件方面做得更好,提高了网络攻击者的入侵难度,但精心设计的隐蔽型木马程序仍不时出现。Abstract Emu就是这样的一种木马病毒,这是最近发现的一种伪装成实用应用程序的威胁,能够通过root漏洞获得对Android设备的完全控制。
安全服务商Lookout公司的研究人员在最近的一项分析中说:“这是一个重大发现,因为在过去五年中,具有root权限的恶意软件变得很少见。随着Android生态系统的成熟,影响大量设备的安全漏洞越来越少,从而使它们对威胁行为者的用处越来越小。”
Abstract Emu出现在Google Play、Amazon Appstore、Samsung GalaxyStore和其他较少使用的应用程序商店中,如Aptoide和APKPure。这通常提醒企业和移动设备用户小心谨慎,虽然从受信任的应用程序商店下载应用程序显著地降低了移动设备受损的可能性,但这不是灵丹妙药,需要额外的保护和监控。选择提供定期和及时操作系统安全补丁的设备非常重要,同时限制设备上的应用程序数量,并删除不需要的应用程序。
出于经济动机的全球运动
Lookout的研究人员表示,Abstract Emu恶意软件被发现存在于19个伪装成密码管理器、应用启动器、数据保护程序、环境照明广告拦截和其他应用程序中。其中一些名称包括Anti-ads Browser、Data Saver、Lite Launcher、My Phone、Night Light、All Passwords和Phone Plus。例如,Lite Launcher在下架时在Google Play上的下载量超过1万次。
所有应用程序似乎功能齐全,这表明它们可能是被恶意修改和重命名的合法应用程序。除了上传到各种应用程序商店之外,研究人员还发现这些应用程序在社交媒体和Android相关论坛上主要以英语进行推广,但也发现了一个越南语的广告。
研究人员说:“除了应用程序的无针对性分发之外,通过root访问授予的广泛权限与我们之前观察到的其他出于经济动机的威胁一致。这包括银行木马程序的常见权限请求,使他们能够接收通过SMS发送或在后台运行,并发起网络钓鱼攻击的任何双因素身份验证代码。还有允许与设备进行远程交互的权限,例如捕获屏幕上的内容和访问无障碍服务,这使威胁行为者能够与设备上的其他应用程序交互,其中包括金融应用程序。两者都类似于Anatsa和Vultur恶意软件系列请求的权限。”
来自至少17个国家或地区的用户受到了这种新木马的影响,尽管日益广泛的网络目标和其他方面表明了其经济动机,但该恶意软件的间谍软件功能非常广泛,也可以用于其他目的。不幸的是,研究人员无法检索从命令和控制服务器提供的最终有效载荷以确认网络攻击者的目标。
Rooting、反仿真和动态有效载荷
分布在应用商店的Abstract Emul应用程序包含尝试确定应用程序是在模拟环境中还是在真实设备上运行的代码。这是一种重要的检测规避策略,因为Google Play会在扫描代码之前在模拟器中执行提交的应用程序,许多其他安全供应商也是如此。这些检查类似于来自名为Emulator Detector的开源库的检查,包括检查设备的系统属性、已安装的应用程序列表和文件系统。
一旦应用程序确定它在真实设备上运行,它将开始与网络攻击者的服务器通信并上传有关设备的其他信息,包括其制造商、型号、版本、序列号、电话号码、IP地址、时区和帐户信息。
然后,服务器将使用此设备信息来确定应用程序是否应该尝试对设备进行root操作——通过利用漏洞获得完全管理权限(root)。该应用程序以编码形式捆绑了几个漏洞的利用,它们的执行顺序由命令和控制服务器的响应决定。
Abstract Emu包括较新和较旧的root漏洞:CVE-2020-0069、CVE-2020-0041、CVE-2019-2215(Qu1ckr00t)、CVE-2015-3636(PingPingRoot)和CVE-2015-1805(iovyroot)。
CVE-2020-0069是联发科命令队列驱动程序(或CMDQ驱动程序)中的一个特权升级漏洞,它影响了数百万台使用来自不同制造商的基于联发科芯片组的设备。该漏洞已于2020年3月修补,但自从那时起不再受支持且未从制造商处获得安全更新的设备仍然容易受到攻击。
CVE-2020-0041也是一个特权升级漏洞,已于2020年3月修补,但会影响Android Binder组件。限制因素是只有较新的内核版本才有这个漏洞,而且许多Android设备使用较旧的内核。
近年来,许多Android厂商在及时发布Android安全更新方面取得了进展,尤其是针对其旗舰机型,但Android生态系统碎片化仍然是一个问题。
制造商有多个产品线,每个产品线都有不同的芯片组和自定义固件,因此,即使谷歌公司每月发布补丁,为如此多样化的设备组合集成这些补丁并提供固件更新也可能需要几天到数月的时间。一般来说,较新和较高端的设备可以更快地获得补丁,但不同制造商的补丁时间可能有很大差异。虽然具有植入功能的恶意软件不如Android应用早期那么有效,这可以解释其近年来的衰落,但许多设备更新的补丁仍然落后于恶意软件的发展,甚至可能容易受到Abstract Emu已经存在一年的漏洞的攻击。
特洛伊木马使用的root进程还使用从Magisk复制的shell脚本和二进制文件,Magisk是一种开源解决方案,以不修改系统分区且更难检测的方式对Android手机进行root。如果root成功,shell脚本会默认安装一个名为Settings Storage的应用程序,并在没有用户交互的情况下授予它侵入性权限,其中包括访问联系人、通话记录、SMS消息、位置、摄像头和麦克风。
设置存储应用程序本身不包含恶意功能,如果用户尝试打开它,它将自动打开系统的正常设置应用程序。但是,恶意应用程序将从命令和控制服务器执行额外的有效负载,这些负载将利用其权限。由于网络攻击者采取了预防措施,Lookout公司的研究人员没有从命令和控制服务器获取这些额外的有效载荷,但该应用程序的行为显然旨在使安全产品或APK代码扫描器更难检测其恶意性质。
研究人员说:“虽然我们无法发现Abstract Emu的目的,但我们获得了对大规模分布式恶意软件活动的宝贵见解,随着Android平台的成熟,这种活动已变得罕见。植入Android或越狱iOS设备仍然是完全破坏移动设备的最具侵入性的方式。我们需要牢记的是,无论是IT专业人士还是消费者,移动设备是犯罪分子可以利用进行网络攻击的完美工具,因为它们具有无数功能并拥有大量敏感数据。”