写点什么

曝光:Android 恶意应用巧妙伪装,谷歌紧急出手修复漏洞

作者 | Krebsonsecurity.com

  • 2023-08-08
    北京
  • 本文字数:1756 字

    阅读完需:约 6 分钟

曝光:Android恶意应用巧妙伪装,谷歌紧急出手修复漏洞

研究人员表示,移动恶意软件传播者一直在利用谷歌 Android 平台上的一个漏洞。该漏洞允许攻击者将恶意代码隐藏在移动应用之内,并可逃避安全扫描工具的检测。谷歌称为响应这项研究发现,已经对其应用程序恶意软件检测机制做出更新。

 

来自阿姆斯特丹的安全厂商 ThreatFabric 的研究人员发现一种在移动应用中混淆恶意软件的方法。该公司高级恶意软件分析师 Aleksandr Eremin 在采访中解释道,他们近期发现一些移动银行木马,利用的正是全体 Android 系统版本中均存在的 bug。该 bug 会损坏应用程序组件,导致将恶意代码被目前流行的移动安全扫描工具视为无效并忽略,因此整个应用仍可通过 Android 操作系统验证并成功安装。

 

Eremin 进一步指出,“有恶意软件将自身添加至.apk 文件当中(Android 应用安装文件),使其得以通过平台验证并成功执行所有恶意操作。目前许多用于解压和反编译移动应用的工具都无法正常处理这部分恶意代码。”

 

Eremin 表示,ThreatFabric 过去曾多次发现过这种恶意软件混淆方法。但从 2023 年 4 月起,该公司发现其他已知恶意软件家族出现了更多此类变体,采取同样的方式悄然作恶。此后,该公司将这种趋势归因于地下网络犯罪中的半自动化恶意软件即服务产品,即通过混淆或“加密”恶意移动应用的方式赚取利益。

 

Eremin 还提到,谷歌已经在 2023 年 5 月 9 日将这份早期报告标记为“高”严重等级。近期,谷歌向他们支付了 5000 美元的 bug 上报奖金。不过从技术层面来讲,谷歌并没有将此次发现归类为安全漏洞。

 

谷歌在书面声明中表示,“这是一种特殊情况,上报的问题并未被归类为安全漏洞,也不会影响到 Android 开源项目(AOSP)。但问题确实存在,我们也针对潜在的 bug 滥用情况对 Android 应用的恶意软件检测机制进行了更新。”

 

谷歌也承认,他们向开发人员提供的一些工具(包括 APK 分析器)目前无法正确解析此类恶意应用并将其视为无效,它们仍被允许安装在用户设备上。

 

谷歌在声明中补充称,“我们正在研究开发者工具的可行修复方案,并计划就此对文档内容做相应更新。”



根据 ThreatFabric 的介绍,常见的应用分析器能够发现一些明显的恶意迹象,表明恶意应用正滥用该 bug 以伪装成良性应用软件。在研究中,他们发现被这种方式篡改过的应用中的 Android Manifest 文件,将包含比软件包中其他文件都要早的更新时间戳。

 

更重要的是,Manifest 文件本身也会被篡改,以便应用所指定的“字符串”数量(即代码中的纯文本,例如注释)与软件内的实际字符串数量相符。

 

目前已知利用这种混淆方法的移动恶意软件家族之一为 Anatsa,这是一种基于 Android 系统的复杂银行木马,经常伪装成用于管理文件的无害应用。上个月,ThreatFabric 详尽介绍了 Anatsa 背后黑客团伙如何购买陈旧废弃的文件管理应用,或者开发自己的原创应用,在先积累起一定规模的用户群体之后再向其中注入恶意软件更新。

 

ThreatFabric 表示,Anatsa 会冒充成 PDF 阅读器及其他文件管理应用,因为这类应用往往拥有删除或修改设备上其他文件的高级权限。该公司估计,Anatsa 背后的黑客团伙已经在 Google Play 应用商店上持续开展恶意软件活动,并借此安装了超 30000 个银行木马。

 

最近几个月来,谷歌因未能主动监管其 Play 应用商店中的恶意软件应用、或者曾经合法但后来沦为流氓软件的问题而受到批评。技术外媒 Ars Technica 曾于 2023 年 5 月发表一篇报道,称一款原本良性的屏幕录制应用在积累了 5 万名用户之后转为恶意软件。文件指出,谷歌在其平台上发现恶意软件时不会对外公布,仅在收到上报时对发现问题的外部研究人员表示感谢并删除相关恶意软件。

 

Ars Technica 的文章写道,“谷歌公司从未解释过自己的研究人员和自动扫描流程为什么会漏掉外部人员发现的这些恶意应用。即使谷歌明智 Play 用户被其第一方服务推广和提供的应用感染,也不愿主动发出安全通报。”

 

报道还提到谷歌最近正做出一项积极的潜在转变:Android 11 及更高版本将迎来一项预防措施。该措施可实现“应用休眠”,即让挂起的应用进入休眠状态,从而消除之前正常运行时被授予的运行时权限。

 

原文链接:


https://krebsonsecurity.com/2023/08/how-malicious-android-apps-slip-into-disguise/

 

相关阅读:

Android 资源大汇总

在 Android 12 中构建更现代的应用 Widget

Android 面试必备!爆火超全的《Android 性能优化全方面解析》

Android Manifest 功能与权限描述大全,阿里大牛整理

2023-08-08 14:322283

评论

发布
暂无评论
发现更多内容

JProfiler for Mac(Java开发分析软件)v14.0.0永久激活版

Rose

万字长文解读生成式AI参考架构

俞凡

人工智能

软件测试学习笔记丨Linux三剑客-grep

测试人

软件测试

新突破!同方威视主导的又一项国际标准正式发布

财见

华钦科技将发布2024财年下半年及全年财报

财见

远程桌面连接工具Microsoft Remote Desktop for Mac

Mac相关知识分享

小说

Stop Using Unencrypted WiFi: Secure Your Network with WPA3

wallyslilly

ipq9574

Kimi 探索版发布,搜索量增强 10 倍;北大&快手开源 Pyramid Flow Matching 丨 RTE 开发者日报

声网

通过 Pollyoyo 快速绘制图表:高效使用 PlantUML 的最佳选择

Byte

Flink 批作业如何在 Master 节点出错重启后恢复执行进度?

Apache Flink

大数据 flink

如何快速上手一个新项目?

不在线第一只蜗牛

数据库 数据

视频下载工具Downie 4 for Mac

Mac相关知识分享

视频下载软件

如何实现低成本降噪?风扇噪声流体仿真解决方案

Altair RapidMiner

设计 仿真 噪音数据 altair

勇气:雷军2024年度演讲

老张

自由职业 不忘初心 勇气

新特性速览! Sermant 2.1.0版本重磅发布

华为云开源

开源 字节码 微服务治理 sermant

以生态共建推动产业发展,深开鸿亮相2024开放原子开源生态大会

Geek_2d6073

Bartender 4:图标显示切换大变样,还能在菜单栏自定义文字

Rose

1688跨境代采业务用的接口大全

tbapi

1688代采系统 1688代采 1688代采接口

再谈十二要素方法论

俞凡

架构 最佳实践 云原生

Sitting Ducks攻击导致每日百万域名遭劫持!

国科云

轻松构建游戏登录能力,打造玩家流畅体验

HarmonyOS SDK

专业矢量图形设计工具Sketch for mac

Mac相关知识分享

薇美姿舒客B2B订货平台:抢占末端渠道先机,实现持续增长

赛博威科技

视觉特效软件包FxFactory 8 Pro for Mac

Mac相关知识分享

数据结构 - 链表

EquatorCoco

数据结构 链表

几大远程软件怎么选?为何我推荐使用向日葵?

科技热闻

如何绘制族谱?这款Mac家谱软件MacFamilyTree可以轻松帮你绘制百年家族谱!

Rose

HyperMesh施加正弦荷载

智造软件

网格 载荷 Hypermesh

亚马逊云科技助力贵州省铜仁市石阡县免费乳腺癌筛查活动

财见

沉浸式娱乐新纪元,3DCAT推出5G+实时云渲染VR大空间解决方案

3DCAT实时渲染

实时云渲染 云VR VR大空间

视频转 GIF 工具Video GIF converter for Mac

Mac相关知识分享

曝光:Android恶意应用巧妙伪装,谷歌紧急出手修复漏洞_大前端_InfoQ精选文章