-
-
安卓签名漏洞疯狂爆发 正版应用遭遇“寄生虫”
-
发表于: 2013-8-9 19:08
-
新闻链接:http://www.cert.org.cn/publish/main/12/2013/20130802082426216828084/20130802082426216828084_.html
新闻时间:2013-08
新闻正文:
2013年7月CNCERT主办的国家信息安全漏洞共享平台(CNVD)收录了Android操作系统存在一个签名验证绕过的高危漏洞(编号:CNVD-2013-28152),并将该漏洞信息在通信行业内进行通报。
7月下旬,利用该签名漏洞的Skullkey扣费木马犹如“寄生虫”般寄生于正常APP中并开始疯狂传播。CNCERT监测发现在第三方应用市场“安丰市场”中存在6644个利用签名漏洞被植入Skullkey扣费木马的恶意APP。
签名漏洞利用成本低,危害性大
利用该签名漏洞,黑客可以在不破坏正常APP程序和签名证书的情况下,向正常APP中植入恶意程序,一方面利用正常APP的签名证书逃避Android系统签名验证,另一方面能够在运行时执行被植入的恶意程序。
由于无需对正常APP进行修改,利用该签名漏洞向正常APP中植入恶意程序的成本非常低。此外,利用该签名漏洞的恶意APP具有很强的危害性和隐藏性,终端防护软件无法通过签名来检验程序的安全性。“寄生”在正常APP中的恶意程序可以轻松绕过终端防护软件,在用户终端后台执行各种恶意行为,造成用户隐私信息泄露、恶意扣费等严重危害。
利用签名漏洞,正版APP被植入扣费木马Skullkey
CNCERT在捕获Skullkey扣费木马后,对该木马进行了全面分析,并依据通信行业标准YD/T 2439-2012《移动互联网恶意程序描述格式》判鉴定该手机木马属于“恶意扣费”类恶意程序,将其归入A.Payment. Skullkey恶意代码家族中。
Skullkey扣费木马利用Android操作系统签名漏洞,向正常APP中植入恶意程序,在用户不知情的情况下,通过后台发送扣费短信,并屏蔽回执短信。此外,该木马还可以在后台读取手机中的通讯录信息,同时具备向联系人发送广告或欺诈短信的权限。
第三方“安丰市场”成为“恶意传播源”
CNCERT监测发现在第三方应用市场“安丰市场”中存在6644个由于Android操作系统签名漏洞被植入Skullkey扣费木马的恶意APP,按照功能分布如下:
种类 比例
游戏类 44%
工具类 24%
社交类 11%
其他 21%
为了提高恶意APP的下载量,黑客会优先选择向热门APP中植入Skullkey扣费木马。在以上6644个恶意APP中,许多APP都为热门APP:
1. 工具类APP:新浪微博,腾讯QQ,搜狐新闻客户端,UC浏览器,优酷视频,土豆视频,CCTV客户端等;
2. 经济类APP:农业银行手机客户端,兴业银行手机客户端,支付宝,淘宝,苏宁易购等;
3. 安全类APP:腾讯手机管家,360手机卫士,安全管家,LBE手机安全大师,赛门铁克,网秦,金山毒霸等。
可以看出,经济类APP和安全类APP逐渐成为黑客入侵的新目标。根据“安丰市场”网站的下载次数统计显示,这些恶意APP的累计下载总次数已超过200万次。
CNCERT在监测发现“安丰市场”中存在6644个的被植入Skullkey扣费木马的恶意APP后,第一时间通知该应用商店下架所有6644个恶意APP,并彻底删除相应的APP下载链接。同时,CNCERT将6644个恶意APP信息和相应URL下载链接通过中国反网络病毒联盟向全社会进行黑名单发布。
附: 图解安丰市场中被植入扣费木马的腾讯QQ
第三方“安丰市场”首页具有“热门应用”板块,在该板块中的应用是下载次数是在整个安丰市场中排名最靠前的APP,其中排名第一的是“手机QQ2013”。
进入“手机QQ2013”页面,可以看到该APP已累计下载896844次。点击“立即下载”后获得“手机QQ2013”安装文件“1373852745887.apk”。
利用7-zip压缩工具打开该APK安装文件,可以看到具备两个“classes.dex”文件,而正常的手机QQ安装程序只会有一个“classes.dex”文件,因此可以判定该安装程序已被黑客利用并植入恶意程序。且“classes.dex”文件的创建时间为2013年7月21日,而该APP最后的更新时间为2013年7月15日,两个时间不吻合。经我中心深入分析,判定植入的恶意程序为扣费木马Skullkey。
除手机QQ2013外,如UC浏览器、腾讯微信、搜狗输入法、360手机卫士、搜狐客户端等热门APP均存在同样问题,被植入扣费木马Skullkey。通过对整个“安丰市场”进行整体检查,我中心共发现类似被植入扣费木马Skullkey的恶意APP共计6644个。
新闻时间:2013-08
新闻正文:
2013年7月CNCERT主办的国家信息安全漏洞共享平台(CNVD)收录了Android操作系统存在一个签名验证绕过的高危漏洞(编号:CNVD-2013-28152),并将该漏洞信息在通信行业内进行通报。
7月下旬,利用该签名漏洞的Skullkey扣费木马犹如“寄生虫”般寄生于正常APP中并开始疯狂传播。CNCERT监测发现在第三方应用市场“安丰市场”中存在6644个利用签名漏洞被植入Skullkey扣费木马的恶意APP。
签名漏洞利用成本低,危害性大
利用该签名漏洞,黑客可以在不破坏正常APP程序和签名证书的情况下,向正常APP中植入恶意程序,一方面利用正常APP的签名证书逃避Android系统签名验证,另一方面能够在运行时执行被植入的恶意程序。
由于无需对正常APP进行修改,利用该签名漏洞向正常APP中植入恶意程序的成本非常低。此外,利用该签名漏洞的恶意APP具有很强的危害性和隐藏性,终端防护软件无法通过签名来检验程序的安全性。“寄生”在正常APP中的恶意程序可以轻松绕过终端防护软件,在用户终端后台执行各种恶意行为,造成用户隐私信息泄露、恶意扣费等严重危害。
利用签名漏洞,正版APP被植入扣费木马Skullkey
CNCERT在捕获Skullkey扣费木马后,对该木马进行了全面分析,并依据通信行业标准YD/T 2439-2012《移动互联网恶意程序描述格式》判鉴定该手机木马属于“恶意扣费”类恶意程序,将其归入A.Payment. Skullkey恶意代码家族中。
Skullkey扣费木马利用Android操作系统签名漏洞,向正常APP中植入恶意程序,在用户不知情的情况下,通过后台发送扣费短信,并屏蔽回执短信。此外,该木马还可以在后台读取手机中的通讯录信息,同时具备向联系人发送广告或欺诈短信的权限。
第三方“安丰市场”成为“恶意传播源”
CNCERT监测发现在第三方应用市场“安丰市场”中存在6644个由于Android操作系统签名漏洞被植入Skullkey扣费木马的恶意APP,按照功能分布如下:
种类 比例
游戏类 44%
工具类 24%
社交类 11%
其他 21%
为了提高恶意APP的下载量,黑客会优先选择向热门APP中植入Skullkey扣费木马。在以上6644个恶意APP中,许多APP都为热门APP:
1. 工具类APP:新浪微博,腾讯QQ,搜狐新闻客户端,UC浏览器,优酷视频,土豆视频,CCTV客户端等;
2. 经济类APP:农业银行手机客户端,兴业银行手机客户端,支付宝,淘宝,苏宁易购等;
3. 安全类APP:腾讯手机管家,360手机卫士,安全管家,LBE手机安全大师,赛门铁克,网秦,金山毒霸等。
可以看出,经济类APP和安全类APP逐渐成为黑客入侵的新目标。根据“安丰市场”网站的下载次数统计显示,这些恶意APP的累计下载总次数已超过200万次。
CNCERT在监测发现“安丰市场”中存在6644个的被植入Skullkey扣费木马的恶意APP后,第一时间通知该应用商店下架所有6644个恶意APP,并彻底删除相应的APP下载链接。同时,CNCERT将6644个恶意APP信息和相应URL下载链接通过中国反网络病毒联盟向全社会进行黑名单发布。
附: 图解安丰市场中被植入扣费木马的腾讯QQ
第三方“安丰市场”首页具有“热门应用”板块,在该板块中的应用是下载次数是在整个安丰市场中排名最靠前的APP,其中排名第一的是“手机QQ2013”。
进入“手机QQ2013”页面,可以看到该APP已累计下载896844次。点击“立即下载”后获得“手机QQ2013”安装文件“1373852745887.apk”。
利用7-zip压缩工具打开该APK安装文件,可以看到具备两个“classes.dex”文件,而正常的手机QQ安装程序只会有一个“classes.dex”文件,因此可以判定该安装程序已被黑客利用并植入恶意程序。且“classes.dex”文件的创建时间为2013年7月21日,而该APP最后的更新时间为2013年7月15日,两个时间不吻合。经我中心深入分析,判定植入的恶意程序为扣费木马Skullkey。
除手机QQ2013外,如UC浏览器、腾讯微信、搜狗输入法、360手机卫士、搜狐客户端等热门APP均存在同样问题,被植入扣费木马Skullkey。通过对整个“安丰市场”进行整体检查,我中心共发现类似被植入扣费木马Skullkey的恶意APP共计6644个。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
