作者 | Krebsonsecurity.com
譯者 | 核子可樂
策劃 | 丁曉昀
研究人員表示,移動惡意軟體傳播者一直在利用谷歌 Android 平台上的一個漏洞。該漏洞允許攻擊者將惡意代碼隱藏在移動應用之內,並可逃避安全掃描工具的檢測。谷歌稱為響應這項研究發現,已經對其應用程式惡意軟體檢測機製做出更新。
來自阿姆斯特丹的安全廠商 ThreatFabric 的研究人員發現一種在移動應用中混淆惡意軟體的方法。該公司高級惡意軟體分析師 Aleksandr Eremin 在採訪中解釋道,他們近期發現一些移動銀行木馬,利用的正是全體 Android 系統版本中均存在的 bug。該 bug 會損壞應用程式組件,導致將惡意代碼被目前流行的移動安全掃描工具視為無效並忽略,因此整個應用仍可通過 Android 作業系統驗證並成功安裝。
Eremin 進一步指出,「有惡意軟體將自身添加至.apk 文件當中(Android 應用安裝文件),使其得以通過平台驗證並成功執行所有惡意操作。目前許多用於解壓和反編譯移動應用的工具都無法正常處理這部分惡意代碼。」
Eremin 表示,ThreatFabric 過去曾多次發現過這種惡意軟體混淆方法。但從 2023 年 4 月起,該公司發現其他已知惡意軟體家族出現了更多此類變體,採取同樣的方式悄然作惡。此後,該公司將這種趨勢歸因於地下網絡犯罪中的半自動化惡意軟體即服務產品,即通過混淆或「加密」惡意移動應用的方式賺取利益。
Eremin 還提到,谷歌已經在 2023 年 5 月 9 日將這份早期報告標記為「高」嚴重等級。近期,谷歌向他們支付了 5000 美元的 bug 上報獎金。不過從技術層面來講,谷歌並沒有將此次發現歸類為安全漏洞。
谷歌在書面聲明中表示,「這是一種特殊情況,上報的問題並未被歸類為安全漏洞,也不會影響到 Android 開源項目(AOSP)。但問題確實存在,我們也針對潛在的 bug 濫用情況對 Android 應用的惡意軟體檢測機制進行了更新。」
谷歌也承認,他們向開發人員提供的一些工具(包括 APK 分析器)目前無法正確解析此類惡意應用並將其視為無效,它們仍被允許安裝在用戶設備上。
谷歌在聲明中補充稱,「我們正在研究開發者工具的可行修復方案,並計劃就此對文檔內容做相應更新。」
根據 ThreatFabric 的介紹,常見的應用分析器能夠發現一些明顯的惡意跡象,表明惡意應用正濫用該 bug 以偽裝成良性應用軟體。在研究中,他們發現被這種方式篡改過的應用中的 Android Manifest 文件,將包含比軟體包中其他文件都要早的更新時間戳。
更重要的是,Manifest 文件本身也會被篡改,以便應用所指定的「字符串」數量(即代碼中的純文本,例如注釋)與軟體內的實際字符串數量相符。
目前已知利用這種混淆方法的移動惡意軟體家族之一為 Anatsa,這是一種基於 Android 系統的複雜銀行木馬,經常偽裝成用於管理文件的無害應用。上個月,ThreatFabric 詳盡介紹了 Anatsa 背後黑客團伙如何購買陳舊廢棄的文件管理應用,或者開發自己的原創應用,在先積累起一定規模的用戶群體之後再向其中注入惡意軟體更新。
ThreatFabric 表示,Anatsa 會冒充成 PDF 閱讀器及其他文件管理應用,因為這類應用往往擁有刪除或修改設備上其他文件的高級權限。該公司估計,Anatsa 背後的黑客團伙已經在 Google Play 應用商店上持續開展惡意軟體活動,並藉此安裝了超 30000 個銀行木馬。
最近幾個月來,谷歌因未能主動監管其 Play 應用商店中的惡意軟體應用、或者曾經合法但後來淪為流氓軟體的問題而受到批評。技術外媒 Ars Technica 曾於 2023 年 5 月發表一篇報道,稱一款原本良性的螢幕錄製應用在積累了 5 萬名用戶之後轉為惡意軟體。文件指出,谷歌在其平台上發現惡意軟體時不會對外公布,僅在收到上報時對發現問題的外部研究人員表示感謝並刪除相關惡意軟體。
Ars Technica 的文章寫道,「谷歌公司從未解釋過自己的研究人員和自動掃描流程為什麼會漏掉外部人員發現的這些惡意應用。即使谷歌明智 Play 用戶被其第一方服務推廣和提供的應用感染,也不願主動發出安全通報。」
報道還提到谷歌最近正做出一項積極的潛在轉變:Android 11 及更高版本將迎來一項預防措施。該措施可實現「應用休眠」,即讓掛起的應用進入休眠狀態,從而消除之前正常運行時被授予的運行時權限。
原文連結:
https://krebsonsecurity.com/2023/08/how-malicious-android-apps-slip-into-disguise/
相關閱讀:
Android 資源大匯總
在 Android 12 中構建更現代的應用 Widget
Android 面試必備!爆火超全的《Android 性能優化全方面解析》(https://xie.infoq.cn/article/c3e67a87128a6446872b9e782)
Android Manifest 功能與權限描述大全,阿里大牛整理 (https://xie.infoq.cn/article/cdee9c8b441f091efdeaee717)
聲明:本文為 InfoQ 翻譯,未經許可禁止轉載。
點擊底部閱讀原文訪問 InfoQ 官網,獲取更多精彩內容!
今日好文推薦
谷歌重磅發布多平台應用開發神器:背靠 AI 編程神器 Codey,支持 React、Vue 等框架,還能補全、解釋代碼
IPv4 開始收費!新的 IT 災難?
愛奇藝VR公司業務停滯,員工或被欠薪;阿里雲開源通義千問 70 億參數模型,免費可商用;華為正式發布鴻蒙 4,接入大模型|Q資訊
年薪超 600 萬,比技術總監還高:電影行業 AI 產品經理的崛起