许多用户抱怨他们的智能手机上越来越多来自未知来源的侵入性广告,在某些情况下,解决方案非常简单。对于弹窗广告,关闭一次就太麻烦了。在许多情况下,用户并不知道这是一次网络攻击。该广告软件将自身植入系统分区,如果用户尝试将其完全卸载,可能会导致设备出现故障。此外,广告可以在代码级别嵌入到不可删除的系统应用程序和库中。根据卡巴斯基追踪的数据,在过去一年中受到恶意软件或广告软件攻击的用户中,有14.8%的系统分区受到感染。为什么是这样?研究人员观察到将不可删除的广告软件嵌入设备的两种主要策略:1.恶意软件获得设备的根访问权限并将广告软件安装在系统分区中。2.用于显示广告的代码(或其加载程序)甚至在消费者购买之前就已嵌入到设备的固件中。Android安全模型假设杀毒软件是一个普通的应用程序,根据这个概念,它实际上无法对系统目录中的广告软件或恶意软件做任何事情。这使广告软件成为攻击媒介。它背后的网络犯罪分子不惜一切代价从广告或强制安装的应用程序中赚钱。因此,诸如CookieStealer之类的恶意软件可能会出现在用户的设备上。通常,我们安全解决方案用户总数的1%–5%会遇到此广告软件(取决于特定的设备品牌)。一般来说,这些人是某些品牌的低价智能手机和平板电脑的拥有者。然而,对于一些提供低成本设备的流行供应商来说,这个数字可能高达27%。2019年5月至2020年5月在系统分区中遇到恶意软件或广告软件的用户占卡巴斯基用户总数的百分比详细分析安装在智能手机系统分区中的最常见恶意软件类型是Lezok和TriadaTrojan。Lezok家族以其各种分发计划而闻名,包括供应链攻击,其中恶意软件在上传到应用程序商店之前嵌入到移动设备的固件中。这种分发方式非常危险,原因有二:1.普通用户很难判断自己的设备是否被感染;2.删除此恶意软件非常复杂。Lezok木马家族主要用于显示持久性广告、为用户订阅付费短信服务以及推动各种平台上的应用程序下载。Triada木马可以渗透到所有运行在移动设备上的程序。Triada由root木马木马发展而来,但随着GooglePlayProtect防御此类攻击的增强,Triada恶意程序被迫转化为系统镜像后门进行感染。但是,由于OEM合作和我们的外展工作,OEM准备了带有安全更新的系统映像,消除了Triada感染。Triada木马值得注意的是,它的广告代码不仅嵌入到任何地方,而且直接嵌入到libandroid_runtime-设备上几乎所有应用程序使用的密钥库中。尽管这些威胁是多年前发现的,但用户仍不断遇到它们。Triada病毒的设计目的主要是用于金融诈骗,通常是劫持金融交易短信。Triada最有趣的特征是其不寻常的模块化架构,这在理论上使病毒更加强大。但Lezok和Triada只是在线广告软件冰山一角,因此研究人员检查了用户今天面临的其他问题,并找出哪些系统应用程序包含“附加”代码。Trojan-Dropper.AndroidOS.Agent.pe此混淆器通常隐藏在处理系统图形界面的应用程序或“设置”实用程序中,否则智能手机将无法正常运行。该恶意软件提供有效负载,进而可以在设备上下载和运行任意文件。Trojan-Dropper.AndroidOS.Agent.pe有效载荷功能的有趣之处在于,有时没有有效载荷,木马就无法执行其任务。Trojan.AndroidOS.Sivu.cSivu是一个伪装成HTMLViewer应用程序的植入程序。该恶意软件包含两个允许在设备上进行根访问的模块,第一个模块在其他窗口之上和通知中显示广告。木马检查它是否可以在屏幕上的应用程序上显示广告。第二个模块是允许远程控制智能手机的后门。它的功能包括安装、卸载和运行应用程序,并且可用于秘密安装合法和恶意应用程序,具体取决于攻击者的目标。下载、安装并运行应用程序AdWare.AndroidOS.Plague.f此广告软件应用程序伪装成系统服务并称自己为Android服务(com.android.syscore)。它可以在用户背后下载和安装应用程序,还可以在通知中显示广告。在屏幕关闭时偷偷安装应用程序。此外,Plague.f可以在SYSTEM_ALERT_WINDOW中显示广告,这是一个位于所有应用程序顶部的弹出窗口。Trojan.AndroidOS.Agent.pacAgent.pac可以模仿CITTEST应用程序,检查设备组件的正确运行。在C&C的命令下,它可以运行应用程序、打开URL、下载和运行任意DEX文件、安装/卸载应用程序、显示通知和启动服务。运行下载的DEX文件Trojan-Dropper.AndroidOS.Penguin.e该木马隐藏在一个名为STS的应用程序中,该应用程序除了显示广告外没有其他功能。下载的代码经过混淆处理,可以部署ToastWindow函数,在本例中类似于SYSTEM_ALERT_WINDOW,一个位于所有应用程序之上的窗口。它还可以下载和运行代码。ToastWindow并启动第三方代码Trojan-Downloader.AndroidOS.Necro.d与以往的木马不同,Necro.d是一个位于系统目录下的原生库。它的启动机制内置于另一个系统库libandroid_servers.so中,它处理Android服务的运行。启动木马由C&C发起,Necro.d可以下载、安装、卸载和运行应用程序。此外,开发人员决定留下一个后门来执行任意shell命令。执行收到的命令最重要的是,Necro.d可以下载Kingroot超级用户权限实用程序,显然这样操作安全系统就不会干扰向用户提供“非常重要”的内容。下载KingrootTrojan-Downloader.AndroidOS.Facmod.a研究人员在智能手机正常运行所需的应用程序中遇到了恶意软件Facmod.a:设置、工厂模式、SystemUI。研究人员的目光被SystemUI中嵌入了两个恶意模块的设备所吸引。解密C&C地址第一个模块(com.android.systemui.assis)从服务器ufz.doesxyz[.]com接收地址下载并运行名为DynamicPack的任意代码:下载并运行第三方代码第二个程序(com.doesxyz[.]com.cash)从应用程序资源中的加密文件加载负载。有效负载解决了安装和运行应用程序(针对此类威胁)的常见任务:秘密安装应用程序此外,Facmod.a具有定期启动浏览器并打开带有广告的页面的功能。Trojan-Dropper.AndroidOS.Guerrilla.iGuerrilla.i木马可以在Launcher系统应用程序中找到,负责智能手机的“桌面”功能。该木马的任务是定期在浏览器中显示广告并打开广告页面。Guerrilla.i通过调用htapi.getapiv8[.]com/api.php?rq=plug接收配置文件,其中还可以包含其他模块的地址,用于下载扩展功能。Trojan-Dropper.AndroidOS.Guerrilla.i周期性显示广告Trojan-Dropper.AndroidOS.Virtualinst.c该释放器可以隐藏在主题应用程序(com.nbc.willcloud.themestore)中,其功能非原创:在下载,安装,并在用户不知情的情况下运行应用程序。Trojan-Dropper.AndroidOS.Virtualinst.c安装应用程序AdWare.AndroidOS.Secretad.c研究人员发现另一个广告软件内置于墙纸目录应用程序中,Secretad.c的有效载荷包含在文件kgallery.c1ass中。例如,当设备解锁或安装应用程序时,它将被解压并启动:解压后的负载包Secretad.c可以全屏显示广告,在浏览器中打开页面或启动广告应用程序本身.与许多其他广告软件程序一样,Secretad.c可以在用户不知情的情况下安装应用程序。该应用程序还有一个广告模块:其有效负载在文件assets/1498203975110.dat中加密。除其他因素外,它还可能导致意外打开在GooglePlay上发布广告的应用程序页面、启动已安装的应用程序或打开浏览器。来自制造商的广告软件一些智能手机包含制造商自己预装的广告软件模块,一些供应商公开承认在他们的智能手机中嵌入了广告软件。有些允许禁用它,而另一些则不允许,将其描述为他们业务模型的一部分,以降低最终用户的设备成本。用户通常别无选择,只能以全价购买手机或支付终身广告略低的价格。更重要的是,研究人员没有发现任何电子商店明确警告用户他们将被强制观看广告。魅族设备毫不掩饰地显示应用内广告,这些广告非常吸引人,您甚至可以在设置中将其关闭。然而,在预装的AppStore应用程序(c4296581148a1a1a008f233d75f71821)中,研究人员发现隐藏的广告软件能够在防病毒监控下加载并显示在不可见的窗口中,这种方法通常用于增加显示数量,这会耗尽数据和电池电量:广告被偷偷加载但是,这还不是全部,该应用程序可以下载并执行第三方JavaScript代码:下载并执行JS代码此外,预装的AppStore应用程序可以静音、访问短信并将其内容剪切并粘贴到加载的页。阅读文本消息并在网页中使用其内容的方法通常用于用户不知道的完全恶意的应用程序,这些应用程序注册了付费订阅。人们只能相信广告软件控制器的体面,并希望第三方无法访问它。但AppStore并不是魅族设备上唯一可疑的应用程序。在魅族音乐(com.meizu.media.music19e481d60c139af3d9881927a213ed88)中,研究人员发现了一个用于下载和执行某些GinkgoSDK的加密可执行文件:下载GinkgoSDK该SDK的功能只能通过并非所有魅族设备都下载这一事实来猜测该软件,研究人员无法访问最新版本。然而,研究人员从其他来源获得的GinkgoSDK版本会在用户不知情的情况下显示广告并安装应用程序。com.vlife.mxlock.wallpaper应用程序(04fe069d7d638d55c796d7ec7ed794a6)还包含一个加密的可执行文件,基本上提供灰色市场广告软件模块的标准功能,包括秘密安装应用程序的能力。研究人员联系魅族报告研究结果,但没有得到回复。Fotabinder除了来自特定供应商的设备中的可疑文件外,研究人员还发现了一个影响许多智能手机的问题。许多设备的内存包含文件/bin/fotabinder(3fdd84b7136d5871afd170ab6dfde6ca),它可以将文件下载到用户设备并对从以下远程服务器之一接收的文件执行代码:adfuture[.]cn、adsunflower[.]com或mayitek[.]com。该文件可能是更新或测试系统的一部分,但提供加密的C&C地址和远程访问设备的功能会引发危险信号摘要研究人员调查的示例表明,一些移动设备供应商关注各种广告工具,以最大化利润,即使这些工具给设备所有者带来不便。如果广告网络愿意为浏览量、点击量和安装量付费,无论其来源如何,将广告模块嵌入设备以增加每台设备的销售利润是有意义的。不幸的是,如果用户购买了带有此类预装广??告的设备,通常不可能在不损害系统的情况下将其删除。
