-
-
[B]号称“最强钉子户”:新型自我Root安卓广告应用[/B]
-
发表于: 2015-11-9 16:05 1613
-
新闻链接:http://www.2cto.com/Article/201511/449334.html
新闻时间:2.15年11月9日
新闻正文:
研究人员发现了几种新的安卓广告软件,它们非常难卸载,而且存在将手机root的风险。此外,它们还会伪装成不同的应用,如推特、Facebook、甚至Okta(某种双因子认证服务)等等。
三类木马化正常应用的广告
研究人员们已经发现了超过20000个木马化的应用样本,它们分别被三类广告应用Shedun、Shuanet、ShiftyBug所感染。黑客会将Google play的官方应用里的代码或者其他特性进行重打包,然后将这种木马化的应用发布到第三方市场。从用户的角度来看,修改后的程序看似一个合法的应用,而的确在许多情况下,它们会提供相同的功能和用户体验。但是在系统后台,它们会试图发起攻击,获取当前安卓系统的root访问权限。在那三类应用中研究人员发现的某些exp,可以让木马化的应用获得系统权限,而这个级别权限通常只会保留给系统级进程。
移动安全公司Lookout的研究人员,他在周三发布的一篇博文中写道:“对普通人来说,感染上Shedun、Shuanet、ShiftyBug这三类恶意应用,意味着你得去商店换个新手机了。因为这些广告软件会将设备root,并把自己提升为系统级别应用,它们很难被清除,普通用户只能被迫更换新设备。”
广告应用危害分析
研究人员称这类应用多为广告应用,但鉴于它们获取了系统权限,是有能力威胁和破坏安卓安全机制的。安卓沙箱本来是不允许任何应用访问其他应用的密码和数据的。但是一旦他们如果获取了系统权限,就可以无视沙箱拦截。因此,它们可以越权读取,或者修改其他正常应用的数据和资源。
Lookout的研究人员表示:“首先,我们想知道为什么有人会想到感染双因子认证应用来打广告,而忽视了窃取用户凭证的机会。然而,观察分发指令和控制服务器我们会发现,它们会重新打包如Google Play等一线应用市场里面的热门应用。奇怪的是,杀软并没有对它们进行查杀,这表明黑客创建这些软件时,是做了非常多的工作的。”
广告应用的广泛性和隐匿性
那些被重打包的应用会被上传到第三方网站,Lookout的研究人员发现它们大多数分布在美国、德国、伊朗、俄罗斯、印度、牙买加、苏丹、巴西、墨西哥和印度尼西亚。这份报告主要强调的是第三方市场具有风险,现在并未发现有木马化的应用进入Google Play。这种案例每年都会有,而在Lookout已经发现的应用案例里,大家尤其需要警惕。
在许多情况下,应用会结合多种root的exp,为特定类型的手机进行量身定做感染方案。比如ShiftyBug,就至少利用了八种root的exp:如Memexploit、 Framaroot、ExynosAbuse等等。其中许多root的exp都是公开的,用户自己就会用来合法root自己的设备。针对这种情形,此前我们曾报道过相关内容,即《合法应用开发者是如何威胁到整个安卓用户群的》。
Lookout的研究人员表示,现在还不清楚那感染20000多应用的三类广告软件系列,彼此之间到底有什么关系。但是可以肯定的是,它们肯定有过互相参照,因为其中至少有71%~82%代码是重复的。
小编结语
文中提到的广告软件借用了合法root工具,不会被某些杀软所查杀,其实这也是个普遍而有效的方案。就像某些拥有合法数字签名的恶意软件一样,有些杀软是不会查杀它们的,这个略类似于杀软加白名单的思路。
新闻时间:2.15年11月9日
新闻正文:
研究人员发现了几种新的安卓广告软件,它们非常难卸载,而且存在将手机root的风险。此外,它们还会伪装成不同的应用,如推特、Facebook、甚至Okta(某种双因子认证服务)等等。
三类木马化正常应用的广告
研究人员们已经发现了超过20000个木马化的应用样本,它们分别被三类广告应用Shedun、Shuanet、ShiftyBug所感染。黑客会将Google play的官方应用里的代码或者其他特性进行重打包,然后将这种木马化的应用发布到第三方市场。从用户的角度来看,修改后的程序看似一个合法的应用,而的确在许多情况下,它们会提供相同的功能和用户体验。但是在系统后台,它们会试图发起攻击,获取当前安卓系统的root访问权限。在那三类应用中研究人员发现的某些exp,可以让木马化的应用获得系统权限,而这个级别权限通常只会保留给系统级进程。
移动安全公司Lookout的研究人员,他在周三发布的一篇博文中写道:“对普通人来说,感染上Shedun、Shuanet、ShiftyBug这三类恶意应用,意味着你得去商店换个新手机了。因为这些广告软件会将设备root,并把自己提升为系统级别应用,它们很难被清除,普通用户只能被迫更换新设备。”
广告应用危害分析
研究人员称这类应用多为广告应用,但鉴于它们获取了系统权限,是有能力威胁和破坏安卓安全机制的。安卓沙箱本来是不允许任何应用访问其他应用的密码和数据的。但是一旦他们如果获取了系统权限,就可以无视沙箱拦截。因此,它们可以越权读取,或者修改其他正常应用的数据和资源。
Lookout的研究人员表示:“首先,我们想知道为什么有人会想到感染双因子认证应用来打广告,而忽视了窃取用户凭证的机会。然而,观察分发指令和控制服务器我们会发现,它们会重新打包如Google Play等一线应用市场里面的热门应用。奇怪的是,杀软并没有对它们进行查杀,这表明黑客创建这些软件时,是做了非常多的工作的。”
广告应用的广泛性和隐匿性
那些被重打包的应用会被上传到第三方网站,Lookout的研究人员发现它们大多数分布在美国、德国、伊朗、俄罗斯、印度、牙买加、苏丹、巴西、墨西哥和印度尼西亚。这份报告主要强调的是第三方市场具有风险,现在并未发现有木马化的应用进入Google Play。这种案例每年都会有,而在Lookout已经发现的应用案例里,大家尤其需要警惕。
在许多情况下,应用会结合多种root的exp,为特定类型的手机进行量身定做感染方案。比如ShiftyBug,就至少利用了八种root的exp:如Memexploit、 Framaroot、ExynosAbuse等等。其中许多root的exp都是公开的,用户自己就会用来合法root自己的设备。针对这种情形,此前我们曾报道过相关内容,即《合法应用开发者是如何威胁到整个安卓用户群的》。
Lookout的研究人员表示,现在还不清楚那感染20000多应用的三类广告软件系列,彼此之间到底有什么关系。但是可以肯定的是,它们肯定有过互相参照,因为其中至少有71%~82%代码是重复的。
小编结语
文中提到的广告软件借用了合法root工具,不会被某些杀软所查杀,其实这也是个普遍而有效的方案。就像某些拥有合法数字签名的恶意软件一样,有些杀软是不会查杀它们的,这个略类似于杀软加白名单的思路。
赞赏
看原图
赞赏
雪币:
留言: