据报道,网络犯罪分子已在GooglePlay应用商店中植入带有恶意代码的功能齐全的木马应用,以逃避安全检测。近年来,GooglePlay商店在监管恶意软件方面做得更好,这让网络攻击者更难入侵,但精心设计的隐秘特洛伊木马程序仍时有出现。一种这样的木马是AbstractEmu,这是一种最近发现的威胁,它伪装成一个实用程序,能够通过root攻击获得对Android设备的完全控制。“这是一个重要的发现,因为在过去的五年里,具有root权限的恶意软件已经变得很少见了,”安全服务Lookout的研究人员在最近的分析中说。随着Android生态系统的成熟,影响大量设备的安全漏洞越来越少,使得它们对威胁行为者的用处越来越小。”摘要Emu出现在GooglePlay、AmazonAppstore、SamsungGalaxyStore和其他较少使用的应用程序商店,例如Aptoide和APKPure。这通常会提醒企业和移动设备用户保持谨慎,虽然从受信任的应用程序商店下载应用程序可以显着降低移动设备遭到破坏的机会,但这并不是万灵药,需要额外的保护和监控。选择提供定期和及时的操作系统安全补丁的设备非常重要,同时限制设备上的应用程序数量并删除不需要的应用程序。AbstractEmu恶意软件被发现存在于19个伪装成密码管理器、应用程序启动器、数据保护程序、环境照明广告拦截器和其他应用程序的应用程序中,据来自具有经济动机的全球运动Lookout的研究人员称。其中一些名称包括反广告浏览器、数据保护程序、LiteLauncher、我的手机、夜灯、所有密码和PhonePlus。例如,LiteLauncher在下架时在GooglePlay上的下载量超过10,000次。所有应用程序似乎都功能齐全,这表明它们可能是被恶意修改和重命名的合法应用程序。除了被上传到各种应用程序商店外,研究人员还发现,这些应用程序主要在社交媒体和Android相关论坛上以英语进行推广,但也发现了越南语的广告。“除了应用程序的无针对性分发之外,通过根访问权限授予的广泛权限与我们之前观察到的其他出于经济动机的威胁是一致的,”研究人员说。“这包括来自银行木马的常见权限请求,使它们能够接收通过短信发送的任何双因素身份验证代码或在后台运行并发起网络钓鱼攻击。还有允许与设备进行远程交互的权限,例如捕获屏幕上的内容并访问可访问性服务,这使得威胁行为攻击者能够与设备上的其他应用程序交互,包括金融应用程序。两者都类似于Anatsa和Vultur恶意软件家族请求的权限。至少有17个国家/地区的用户受到这种新特洛伊木马的影响,尽管网络目标范围越来越广且经济动机的其他迹象越来越多,但该恶意软件的间谍软件功能非常广泛,也可用于其他目的。不幸的是,研究人员无法检索从命令和控制服务器提供的最终有效载荷来确认网络攻击者的目标。生根、反仿真和动态负载分发应用商店中的AbstractEmul应用程序包含尝试确定该应用程序是在模拟环境中运行还是在真实设备上运行的代码。这是一种重要的检测规避策略,因为GooglePlay会在扫描代码之前在模拟器中执行提交的应用程序,许多其他安全供应商也是如此。这些检查类似于来自名为EmulatorDetector的开源库的检查,包括检查设备的系统属性、已安装应用程序列表和文件系统。一旦应用程序确定它在真实设备上运行,它就会开始与网络攻击者的服务器通信并上传有关该设备的其他信息,包括其制造商、型号、版本、序列号、电话号码、IP地址、时区,和帐户信息。然后,服务器将使用此设备信息来确定应用程序是否应尝试对设备进行root——通过利用漏洞获得完全管理权限(root)。该应用程序以代码形式捆绑了多个漏洞的利用,它们的执行顺序由命令和控制服务器的响应决定。摘要Emu包括较新和较旧的根漏洞:CVE-2020-0069、CVE-2020-0041、CVE-2019-2215(Qu1ckr00t)、CVE-2015-3636(PingPingRoot)和CVE-2015-1805(iovyroot)。CVE-2020-0069是MediaTek命令队列驱动程序(或CMDQ驱动程序)中的一个权限提升漏洞,它影响数百万使用来自不同制造商的MediaTek芯片组的设备。该漏洞已于2020年3月修补,但此后一直不受支持且未收到制造商的安全更新的设备仍然容易受到攻击。CVE-2020-0041也是一个权限提升漏洞,已于2020年3月修复,但会影响AndroidBinder组件。限制因素是只有较新的内核版本才有此漏洞,而许多Android设备使用较旧的内核。近年来,许多Android供应商在及时发布Android安全更新方面取得了进展,尤其是他们的旗舰机型,但Android生态系统的碎片化仍然是一个问题。制造商有多个产品线,每个产品线都有不同的芯片组和定制固件,因此即使谷歌每月发布补丁,集成这些补丁并为如此多样化的设备组合提供固件更新也可能需要几天到几个月的时间。一般来说,更新和更高端的设备会更快获得补丁,但补丁时间因制造商而异。虽然带有植入物的恶意软件不像早期的Android应用程序那样有效,这可以解释其近年来的下降,但许多设备更新仍然落后于恶意软件开发,甚至可能容易受到AbstractEmu多年的攻击。攻击。木马使用的root进程还使用从Magisk复制的shell脚本和二进制文件,Magisk是一种用于以不修改系统分区且更难检测的方式对Android手机进行root的开源解决方案。如果root成功,shell脚本会默认安装一个名为SettingsStorage的应用程序,并在无需用户交互的情况下授予它入侵权限,包括访问联系人、通话记录、短信、位置、摄像头和麦克风。设置商店应用本身不包含恶意功能,如果用户尝试打开它,它会自动打开系统的正常设置应用。但是,恶意应用程序将从命令和控制服务器执行额外的有效负载,从而利用其特权。由于网络攻击者采取的预防措施,Lookout研究人员没有从命令和控制服务器获得这些额外的有效载荷,但该应用程序的行为显然旨在使其恶意性质更难被安全产品或APK代码扫描仪检测到。“虽然我们无法发现AbstractEmu的目的,但我们获得了对大规模分布式恶意软件活动的宝贵见解,随着Android平台的成熟,这种活动已经变得罕见,”研究人员说。iOS设备仍然是完全破坏移动设备的最具侵入性的方式。我们需要牢记的是,无论是IT专业人员还是消费者,移动设备都是犯罪分子可以用来进行网络攻击的完美工具,因为它们具有无数的功能并且拥有大量敏感数据。”
