写点什么

曝光:Android 恶意应用巧妙伪装,谷歌紧急出手修复漏洞

作者 | Krebsonsecurity.com

  • 2023-08-08
    北京
  • 本文字数:1756 字

    阅读完需:约 6 分钟

曝光:Android恶意应用巧妙伪装,谷歌紧急出手修复漏洞

研究人员表示,移动恶意软件传播者一直在利用谷歌 Android 平台上的一个漏洞。该漏洞允许攻击者将恶意代码隐藏在移动应用之内,并可逃避安全扫描工具的检测。谷歌称为响应这项研究发现,已经对其应用程序恶意软件检测机制做出更新。

 

来自阿姆斯特丹的安全厂商 ThreatFabric 的研究人员发现一种在移动应用中混淆恶意软件的方法。该公司高级恶意软件分析师 Aleksandr Eremin 在采访中解释道,他们近期发现一些移动银行木马,利用的正是全体 Android 系统版本中均存在的 bug。该 bug 会损坏应用程序组件,导致将恶意代码被目前流行的移动安全扫描工具视为无效并忽略,因此整个应用仍可通过 Android 操作系统验证并成功安装。

 

Eremin 进一步指出,“有恶意软件将自身添加至.apk 文件当中(Android 应用安装文件),使其得以通过平台验证并成功执行所有恶意操作。目前许多用于解压和反编译移动应用的工具都无法正常处理这部分恶意代码。”

 

Eremin 表示,ThreatFabric 过去曾多次发现过这种恶意软件混淆方法。但从 2023 年 4 月起,该公司发现其他已知恶意软件家族出现了更多此类变体,采取同样的方式悄然作恶。此后,该公司将这种趋势归因于地下网络犯罪中的半自动化恶意软件即服务产品,即通过混淆或“加密”恶意移动应用的方式赚取利益。

 

Eremin 还提到,谷歌已经在 2023 年 5 月 9 日将这份早期报告标记为“高”严重等级。近期,谷歌向他们支付了 5000 美元的 bug 上报奖金。不过从技术层面来讲,谷歌并没有将此次发现归类为安全漏洞。

 

谷歌在书面声明中表示,“这是一种特殊情况,上报的问题并未被归类为安全漏洞,也不会影响到 Android 开源项目(AOSP)。但问题确实存在,我们也针对潜在的 bug 滥用情况对 Android 应用的恶意软件检测机制进行了更新。”

 

谷歌也承认,他们向开发人员提供的一些工具(包括 APK 分析器)目前无法正确解析此类恶意应用并将其视为无效,它们仍被允许安装在用户设备上。

 

谷歌在声明中补充称,“我们正在研究开发者工具的可行修复方案,并计划就此对文档内容做相应更新。”



根据 ThreatFabric 的介绍,常见的应用分析器能够发现一些明显的恶意迹象,表明恶意应用正滥用该 bug 以伪装成良性应用软件。在研究中,他们发现被这种方式篡改过的应用中的 Android Manifest 文件,将包含比软件包中其他文件都要早的更新时间戳。

 

更重要的是,Manifest 文件本身也会被篡改,以便应用所指定的“字符串”数量(即代码中的纯文本,例如注释)与软件内的实际字符串数量相符。

 

目前已知利用这种混淆方法的移动恶意软件家族之一为 Anatsa,这是一种基于 Android 系统的复杂银行木马,经常伪装成用于管理文件的无害应用。上个月,ThreatFabric 详尽介绍了 Anatsa 背后黑客团伙如何购买陈旧废弃的文件管理应用,或者开发自己的原创应用,在先积累起一定规模的用户群体之后再向其中注入恶意软件更新。

 

ThreatFabric 表示,Anatsa 会冒充成 PDF 阅读器及其他文件管理应用,因为这类应用往往拥有删除或修改设备上其他文件的高级权限。该公司估计,Anatsa 背后的黑客团伙已经在 Google Play 应用商店上持续开展恶意软件活动,并借此安装了超 30000 个银行木马。

 

最近几个月来,谷歌因未能主动监管其 Play 应用商店中的恶意软件应用、或者曾经合法但后来沦为流氓软件的问题而受到批评。技术外媒 Ars Technica 曾于 2023 年 5 月发表一篇报道,称一款原本良性的屏幕录制应用在积累了 5 万名用户之后转为恶意软件。文件指出,谷歌在其平台上发现恶意软件时不会对外公布,仅在收到上报时对发现问题的外部研究人员表示感谢并删除相关恶意软件。

 

Ars Technica 的文章写道,“谷歌公司从未解释过自己的研究人员和自动扫描流程为什么会漏掉外部人员发现的这些恶意应用。即使谷歌明智 Play 用户被其第一方服务推广和提供的应用感染,也不愿主动发出安全通报。”

 

报道还提到谷歌最近正做出一项积极的潜在转变:Android 11 及更高版本将迎来一项预防措施。该措施可实现“应用休眠”,即让挂起的应用进入休眠状态,从而消除之前正常运行时被授予的运行时权限。

 

原文链接:


https://krebsonsecurity.com/2023/08/how-malicious-android-apps-slip-into-disguise/

 

相关阅读:

Android 资源大汇总

在 Android 12 中构建更现代的应用 Widget

Android 面试必备!爆火超全的《Android 性能优化全方面解析》

Android Manifest 功能与权限描述大全,阿里大牛整理

2023-08-08 14:322216

评论

发布
暂无评论
发现更多内容

Java27岁了——一次争执引起的Java内卷生涯

写代码两年半

javase Java EE 6月月更

开始使用DOCKER COMPOSE V2

mengzyou

Docker DevOps Docker-compose

LabVIEW控制Arduino采集光敏电阻数值(基础篇—14)

不脱发的程序猿

单片机 LabVIEW Arduino LIAT 采集光敏电阻数值

后端解构复习(一)

卢卡多多

技术栈 6月月更

IteratorPattern-迭代器模式

梁歪歪 ♚

设计模式

中国标准走进国际视野,首个零信任国际标准的诞生往事

脑极体

盘点校招面试 HR 可能会问到的问题

宇宙之一粟

面试 校招 6月月更

LabVIEW控制Arduino采集LM35温度传感器数值(基础篇—12)

不脱发的程序猿

单片机 LabVIEW Arduino LIAT 采集LM35温度传感器数值

CommandPattern-命令模式

梁歪歪 ♚

设计模式

都有哪些较好用的项目管理软件?

优秀

项目管理 项目管理软件

从零开始搭建vue-cli项目

小恺

6月月更

当我们进行性能优化,我们在优化什么(LightHouse优化实操)

刘悦的技术博客

性能优化 前端 优化 性能优化手册

通用池化框架GenericObjectPool性能测试

FunTester

企业知识管理体系怎么搭建和运营?

小炮

云原生训练营大作业

jjn0703

架构实战营模块七 作业

库尔斯

架构实战营

动态路由协议之RIP协议,最古老的距离矢量协议!

wljslmz

IP 网络工程师 动态路由 6月月更 路由协议

LabVIEW控制Arduino采集热敏电阻温度数值(基础篇—13)

不脱发的程序猿

单片机 LabVIEW Arduino LIAT 采集热敏电阻温度数值

MPLS协议简述

穿过生命散发芬芳

6月月更 MPLS

@全球开发者|首届云原生边缘计算峰会邀您共话

华为云开发者联盟

云原生 边缘计算 kubeedge

模块七作业: 王者荣耀商城异地多活架构设计

凯博无线

架构实战营模块七作业

天琪实刚亮

OceanBase 成为信通院首批可信开源社区、可信开源项目

OceanBase 数据库

中国信通院 OceanBase 开源

利用Python实现自动操作Excel文件

弑着去忘记う

架构训练 模块七

小马

#架构训练营

Docker的安装及日常命令的使用

Geek_982ff5

6月月更

阿里云刘珅孜:云游戏带来的启发——端上创新

阿里云弹性计算

gpu 元宇宙 云游戏

SPDK对接Ceph性能优化

天翼云开发者社区

开发工具

高性能API网关Kong介绍

天翼云开发者社区

ChainOfResponsibilityPattern-责任链模式

梁歪歪 ♚

设计模式

如何快速上手AIRIOT?

AIRIOT

物联网 低代码平台

曝光:Android恶意应用巧妙伪装,谷歌紧急出手修复漏洞_大前端_InfoQ精选文章