一些在Google Play中找到的“无神”应用程序可以支持90种Android手机

  技术新闻     |      2018-07-16

研究人员发现了一系列恶意应用程序,其中一些可以在Google Play中找到,这些应用程序包含恶意代码,据估计,90 %的Android手机都能够被秘密根除。

在最近发表的一篇博客文章中,杀毒软件提供商趋势科技进一步阐述了一些合法的应用程序开发人员威胁整个Android userbase的原因,他说,恶意软件家族被冠以“无神”的称号,其中包含一系列针对运行Android 5.1或更早版本的几乎所有设备的根除漏洞。这大约占所有安卓设备的90 %。家庭成员已在包括Google Play在内的各种应用商店中找到,并已安装在全球超过85万台设备上。印度、印尼和泰国的用户中,不信神者受到的打击最大,但到目前为止,不到百分之二的感染者在美国。

一旦安装了带有恶意代码的应用程序,它就能够从一个庞大的漏洞库中提取漏洞,以根用户正在运行的特定设备。在这方面,该应用程序的功能类似于许多可用的漏洞利用工具包,这些工具包导致被黑客攻击的网站识别个别访问者浏览器中的特定漏洞,并提供免下车漏洞利用服务。趋势科技移动威胁分析师Veo Zhang写道:

Godless让人想起一个利用工具包,它使用了一个名为Android - rooting - tools的开源生根框架。所述框架在其武库中有各种漏洞,可用于根基于Android的各种设备。此工具包针对的两个最突出的漏洞是CVE - 2015 - 5296 (由PingPongRoot漏洞利用使用)和CVE - 2014 - 3321 (由towerroot漏洞利用使用)。其余的漏洞已被弃用,甚至在安全社区中也相对未知。

此外,具有root权限的恶意软件可以接收远程指令,在该指令上下载应用程序并在移动设备上静默安装。这会导致受影响的用户收到不需要的应用程序,这可能导致不需要的广告。更糟的是,这些威胁还可以用来安装后门和监视用户。

第一批不敬的应用程序将生根漏洞存储在一个名为libgoldikelib的二进制文件中,因此直接存储在受感染的设备上。一旦安装了应用程序,它将等待设备屏幕关闭,然后继续执行其根例程。在成功启动设备后,它会安装一个具有全功能系统权限的应用程序,这样它就不容易被删除。早期的应用程序还安装了一个系统应用程序,它实现了一个独立的Google Play客户端,自动下载和安装应用程序。客户还可以在Google Play中留下反馈,欺诈性地提高某些应用程序的排名。

最新的无神应用程序从位于hxxp : / / market [的服务器下载根漏洞和有效负载。]莫伯莱·[。] com /软交换[。] ashx,很可能是为了让恶意软件绕过Google Play和其他应用程序商店进行的安全检查。后面的变体还安装具有root访问权限的后门,以便在受影响的设备上静默安装应用程序。

这篇文章接着说,Google Play中的各种应用程序,包括手电筒和Wi - Fi应用程序等实用程序以及流行游戏的副本,都包含恶意代码。trend只按名称识别了一个这样的应用程序。它被称为夏季手电筒,已经安装了1000到5000次。该应用程序最近被Google Play推出,但目前其列表仍可在搜索引擎缓存中找到。

邪恶孪生趋势邮报还说,研究人员在Google Play和其他地方都遇到了大量良性应用程序,这些应用程序具有共享同一开发人员证书的相应恶意版本。因此,具有非恶意应用程序的用户可能会在不知道应用程序新的恶意行为的情况下升级到恶意版本。请注意,在Google Play之外更新应用程序违反了商店的条款和条件。

进一步准备新型自动生根的Android广告软件几乎是不可能移除的,不敬只是最新的Android恶意软件利用生根错误在手机上站稳脚跟。去年11月,研究人员发现一个拥有2万多个trojanized应用程序的家庭,这些应用程序利用强大的漏洞获得了对Android操作系统的根访问权限。

Root漏洞攻击不是自动恶意的。人们经常故意利用它们来扩大设备的功能,或者绕过运营商或制造商施加的限制。但是,由于root漏洞能够绕过Android的关键安全保护,所以用户应该在彻底研究主题和正在进行root的特定应用程序之后才能运行它们。一如既往,Android用户应该避免使用第三方应用商店,但亚马逊除外。即使从这些商店之一下载,用户美国应该避免来自未知开发人员的应用程序。

Post已更新,以便将 can 添加到标题中。