研究人員最近發現了一種新型的 Andr​​oid 惡意廣告木馬病毒程式,而想要卸載這個程式卻是幾乎不可能的。這個程式可以假扮成不同軟體供應商的產品,比如 Twitter、Facebook 或者 Okta(一款雙重認證服務)。用戶的手機在感染病毒後可能陷入潛在危險,使得駭客能夠利用 Root 權限獲取信息。

研究人員已經在 Google Play 的官方應用中發現了超過 20000 個受感染的應用樣本。這些應用的代碼或者其他功能被人惡意篡改,然後被發佈到了第三方市場之中。從終端用戶角度來看,被篡改過的應用和原始的正常應用非常相似。在很多樣本中,包含病毒的應用與正常的官方應用具備相同的功能和用戶體驗。然而,被篡改的應用卻可以在後台利用強大的漏洞獲取 Android 操作系統的 root 權限。

人們先後在 Shedun、Shuanet 和 ShiftyBug 這三個惡意程式中發現了病毒漏洞。這個漏洞使得被篡改的應用能夠以系統應用的身份將自己安裝到用戶設備內,享有高度權限。而一般情況下,只有操作系統級別的進程才能享有如此高級別的權限。

移動安全公司 Lookout 的研究人員在本週三發布的 Blog 中寫道:「對於個人用戶而言,設備感染 Shedun、Shuanet 和 ShiftyBug 惡意程式是一場惡夢,這或許是意味著你要重新買一個新的設備。這些惡意廣告程式可以對系統進行 root,並以系統應用的身份將自己安裝到設備內。我們幾乎不可能刪除這些應用和病毒,所以如果用戶想要設備恢復正常就必須更換新的設備。」

Lookout 公司的研究人員表示,這些惡意應用不僅僅彈出廣告,還獲取系統級別地位和 root 權限。這樣一來,它們可以顛覆 Android 系統內建的關鍵性安全機制。比如 Android 系統存在一個我們都知道的沙箱機制,在沙箱內的 Andr​​oid 應用無法獲取其他應用的密碼和數據。但是,可以進行 root 操作的的系統應用享有在用戶之上的權限,這使得它們能夠打破沙箱。如此一來,root 級別的應用就能完成普通應用無法實現的功能:閱讀或者修改數據和資源。

Lookout 公司在 blog 中寫道:「最初我們很好奇為什麼有人想要篡改企業級雙重認證應用以便彈出廣告,卻沒有利用這機會獲取和洩露用戶的認證信息。但觀察病毒指揮和控制服務器的分佈規律之後,我們發現這類惡意程式從 Google Play 這樣頂級的應用商店和本地應用商店中獲取了成千上萬的人們應用並進行了篡改。有意思的是,製造病毒的駭客在篡改正常應用時刻意將防毒軟體排除在外,這說明他們在創造病毒之初就已經做好了詳盡的計劃。」

駭客首先從 Google Play 中下載人們引用,然後用惡意代碼對其進行篡改。之後,駭客再將其發佈到第三方網站之中。Lookout 公司在美國、德國、伊朗、俄羅斯、印度、牙買加、蘇丹、巴西、墨西哥和印度尼西亞都發現了大量感染病毒的應用。該公司的報告強調,使用第三方市場應用存在潛在風險。目前還沒有跡象表明被篡改的應用通過 Google 審核從而進入 Google Play 應用商店。其實,這樣包含病毒的惡意軟體每年都會出現幾十次。如果惡意軟體中隱藏了 Lookout 公司發現的病毒,那麼他們將造成特別巨大的損害。

在很多案例中,含病毒的惡意軟件體利用多種 root 漏洞,從而可以有針對性地攻擊受感染手機型號所特定的系統弱點。比如 ShiftyBug 就包含了最少 8 個獨立的 root 漏洞。諸如 Memexploit、Framaroot 和 ExynosAbuse 這樣的漏洞已經被公開出來,而正規軟體供應商也會使用這些漏洞幫助 Android 用戶對手機實現 root 刷機操作。這樣一來,An​​droid 用戶就可以跨越製造商和運營商設置的障礙,更好的使用手機。

Lookout 公司目前一經發現了超過 20000 個惡意軟體樣本,而我們還不清楚 Shedun、Shuanet 和 ShiftyBug 這三個病毒各自發揮了怎樣的作用。同一病毒的變種之間代碼非常類似,通常有 71% 到 82% 的代碼是相同的。

* 文章來源:arstechnica 本文由 TECH2IPO / 創見@Frederick 編譯,首發於 TECH2IPO / 創見(http://tech2ipo.com/)轉載請保留此信息

(本文轉載自合作夥伴《Tech2ipo》;未經授權,不得轉載)