趋势网(微博|微信)讯:研究人员发现了一种新型的几乎不能被卸载的Android程序,里面有Shedun、Shuanet和ShiftyBug这三种恶意广告变种之中的一种。这种程序给手机带来了潜在危险。这种程序可以伪装成各种各样的程序,例如Twitter、Facebook 甚至是Okta(一个两因素认证服务)。
研究人员发现了超过2万种有木马病毒的应用程序。攻击者从Google Play上下载多款官方应用程序,然后捆绑病毒并重新打包成软件,并把它们发布到其他软件商城上。对用户来说,他们看不出这些程序与本来的有什么不同,而事实上这些有病毒的软件也跟原来的软件的外表和功能一模一样。然而,这些有病毒的程序却秘密地在手机里获得了root权限,进入到了安卓操作系统的内部。研究人员在Shedun、 Shuanet和 ShiftyBug这三个恶意广告变种里发现了三个通用漏洞,这三个漏洞允许木马程序安装成为系统程序。(系统程序有很高的权限,是系统级别的进程。)
突发:美军战斗机被击落 满洲里市领导被指与举报者互骂 西安警方通报男童遭恶犬咬伤
信息安全公司Lookout Mobile Security本周三发表博文说:“对于有些人来说,感染了Shedun,Shuanet和ShiftyBug这三个恶意广告变种,就意味着他们要换新手机了。因为这些恶意广告程序破解了手机并在里面把自己安装成系统程序,使得它们变得难以卸载。这经常迫使一些受害者不得不换手机。”
Lookout Mobile Security的工作人员认为这些广告程序虽然看起来好像只是展示广告而已,但是其实它们也 偷 偷 地给自己打开了root权限。通过这样,它们破坏了安卓系统的关键的安全机制,并自我安装到安卓系统里。安卓系统有一种限制,就是应用程序不被允许访问其他程序的密码和数据。但是一旦拥有了root权限,这些应用就有超级用户权限去打破这些限制。然后,它们就可以肆无忌惮地读取和篡改数据了。
它也写道:“一开始,我们很惊讶为什么有些人会从一些正规软件上感染到病毒。后来,我们考虑到命令和控制服务器的分布规律,知道这些软件是被以编程的方式改编而成的冒牌软件。但是令人惊奇的是,杀毒软件却被没有被改 装成有病毒的软件。这也表现了那些黑客在创建这些恶意软件的时候的高明。”
Lookout Mobile Security研究发现,从Google Play上下载软件,并把它们捆绑上恶意代码,然后发布在其他的网站上的情况在美国、德国、伊朗、俄罗斯、印度、牙买加、苏丹、巴西、墨西哥和印度尼西亚等地区都有发生。这个最新的研究报告强调了在第三方市场上下载应用程序的风险。并表示目前还没有发现Google Play上的程序有木马病毒。像这样的事情每年都会发生许多次,但是如果它们包含了已经被Lookout通过验证了的应用程序,这些程序就是有特别大的危害性的。
在许多情况下,这些应用程序利用多重root漏洞来使它们可以进行调整并进入被感染的手机的漏洞。例如,shiftybug,配备至少八个独立的root漏洞。像memexploit,framaroot,和exynosabuse这种开发软件都是公开的并且合法的。它们提供合法的服务,让Android用户root设备。它们可以打破运营商或制造商的限制。ARS之前报道了一篇题为“合法的应用程序开发商是如何威胁到整个Android用户群的”来谴责这种开发软件会对安卓用户造成危害。
通过对这三款衍生恶意程序代码的分析,安全研究人员发现Shuanet和Shedun和ShiftyBug的的代码相似度分别达到了71%和82%。尽管这三个恶意程序的源代码非常相似,但是Lookout并不认为都是同一个恶意程序团队所为。“但是显然的是,它们都听说过对方的存在吧。”Lookout这样说。
你再举报,看我怎么搞你...多可怕啊。