AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

曝光:Android 恶意应用巧妙伪装,谷歌紧急出手修复漏洞

作者 | Krebsonsecurity.com

  • 2023-08-08
    北京
  • 本文字数:1756 字

    阅读完需:约 6 分钟

曝光:Android恶意应用巧妙伪装,谷歌紧急出手修复漏洞

研究人员表示,移动恶意软件传播者一直在利用谷歌 Android 平台上的一个漏洞。该漏洞允许攻击者将恶意代码隐藏在移动应用之内,并可逃避安全扫描工具的检测。谷歌称为响应这项研究发现,已经对其应用程序恶意软件检测机制做出更新。

 

来自阿姆斯特丹的安全厂商 ThreatFabric 的研究人员发现一种在移动应用中混淆恶意软件的方法。该公司高级恶意软件分析师 Aleksandr Eremin 在采访中解释道,他们近期发现一些移动银行木马,利用的正是全体 Android 系统版本中均存在的 bug。该 bug 会损坏应用程序组件,导致将恶意代码被目前流行的移动安全扫描工具视为无效并忽略,因此整个应用仍可通过 Android 操作系统验证并成功安装。

 

Eremin 进一步指出,“有恶意软件将自身添加至.apk 文件当中(Android 应用安装文件),使其得以通过平台验证并成功执行所有恶意操作。目前许多用于解压和反编译移动应用的工具都无法正常处理这部分恶意代码。”

 

Eremin 表示,ThreatFabric 过去曾多次发现过这种恶意软件混淆方法。但从 2023 年 4 月起,该公司发现其他已知恶意软件家族出现了更多此类变体,采取同样的方式悄然作恶。此后,该公司将这种趋势归因于地下网络犯罪中的半自动化恶意软件即服务产品,即通过混淆或“加密”恶意移动应用的方式赚取利益。

 

Eremin 还提到,谷歌已经在 2023 年 5 月 9 日将这份早期报告标记为“高”严重等级。近期,谷歌向他们支付了 5000 美元的 bug 上报奖金。不过从技术层面来讲,谷歌并没有将此次发现归类为安全漏洞。

 

谷歌在书面声明中表示,“这是一种特殊情况,上报的问题并未被归类为安全漏洞,也不会影响到 Android 开源项目(AOSP)。但问题确实存在,我们也针对潜在的 bug 滥用情况对 Android 应用的恶意软件检测机制进行了更新。”

 

谷歌也承认,他们向开发人员提供的一些工具(包括 APK 分析器)目前无法正确解析此类恶意应用并将其视为无效,它们仍被允许安装在用户设备上。

 

谷歌在声明中补充称,“我们正在研究开发者工具的可行修复方案,并计划就此对文档内容做相应更新。”



根据 ThreatFabric 的介绍,常见的应用分析器能够发现一些明显的恶意迹象,表明恶意应用正滥用该 bug 以伪装成良性应用软件。在研究中,他们发现被这种方式篡改过的应用中的 Android Manifest 文件,将包含比软件包中其他文件都要早的更新时间戳。

 

更重要的是,Manifest 文件本身也会被篡改,以便应用所指定的“字符串”数量(即代码中的纯文本,例如注释)与软件内的实际字符串数量相符。

 

目前已知利用这种混淆方法的移动恶意软件家族之一为 Anatsa,这是一种基于 Android 系统的复杂银行木马,经常伪装成用于管理文件的无害应用。上个月,ThreatFabric 详尽介绍了 Anatsa 背后黑客团伙如何购买陈旧废弃的文件管理应用,或者开发自己的原创应用,在先积累起一定规模的用户群体之后再向其中注入恶意软件更新。

 

ThreatFabric 表示,Anatsa 会冒充成 PDF 阅读器及其他文件管理应用,因为这类应用往往拥有删除或修改设备上其他文件的高级权限。该公司估计,Anatsa 背后的黑客团伙已经在 Google Play 应用商店上持续开展恶意软件活动,并借此安装了超 30000 个银行木马。

 

最近几个月来,谷歌因未能主动监管其 Play 应用商店中的恶意软件应用、或者曾经合法但后来沦为流氓软件的问题而受到批评。技术外媒 Ars Technica 曾于 2023 年 5 月发表一篇报道,称一款原本良性的屏幕录制应用在积累了 5 万名用户之后转为恶意软件。文件指出,谷歌在其平台上发现恶意软件时不会对外公布,仅在收到上报时对发现问题的外部研究人员表示感谢并删除相关恶意软件。

 

Ars Technica 的文章写道,“谷歌公司从未解释过自己的研究人员和自动扫描流程为什么会漏掉外部人员发现的这些恶意应用。即使谷歌明智 Play 用户被其第一方服务推广和提供的应用感染,也不愿主动发出安全通报。”

 

报道还提到谷歌最近正做出一项积极的潜在转变:Android 11 及更高版本将迎来一项预防措施。该措施可实现“应用休眠”,即让挂起的应用进入休眠状态,从而消除之前正常运行时被授予的运行时权限。

 

原文链接:


https://krebsonsecurity.com/2023/08/how-malicious-android-apps-slip-into-disguise/

 

相关阅读:

Android 资源大汇总

在 Android 12 中构建更现代的应用 Widget

Android 面试必备!爆火超全的《Android 性能优化全方面解析》

Android Manifest 功能与权限描述大全,阿里大牛整理

2023-08-08 14:322333

评论

发布
暂无评论
发现更多内容

Spring Boot 实战(9) springboot 整合 JPA,2021必看

Java 程序员 后端

spring boot 整合Swagger2 构建API文档,linux学习路线图

Java 程序员 后端

redis数据迁移之redis-shake,java高级技术经理面试题

Java 程序员 后端

RocketMQ ACL版本升级过程中的曲折经历(大厂线上环境大规模MQ升级开启ACL实战)

Java 程序员 后端

Servlet+JSP(七,java界面开发的三层架构技术

Java 程序员 后端

linux 环境安装Flutter

坚果

flutter 安装 11月日更

Spring Boot 实战(11)整合MyBatis-Plus,mysql原理相关文章

Java 程序员 后端

【Flutter 专题】13 图解最基础的 http 请求方式

阿策小和尚

Flutter 小菜 0 基础学习 Flutter Android 小菜鸟 11月日更

Sentienl 动态数据源架构设计理念与改造实践,阿里P8大牛手把手教你

Java 程序员 后端

Shiro等权限管理框架本质很简单,一个注解+拦截器就可实现

Java 程序员 后端

Spring Boot 2(1),蛙课网java教程资源库

Java 程序员 后端

RPC服务和HTTP服务对比,java基础实验报告总结

Java 程序员 后端

Sentinel:万字详解微服务的哨兵机制,我跪了,mysql编程入门教程

Java 程序员 后端

shiro(三)shiro实战,java面试题项目中的难点

Java 程序员 后端

Spring AOP 源码分析——创建代理对象,绝对干货

Java 程序员 后端

Redis源码剖析——客户端和服务器,springboot入门程序

Java 后端

Redis的各种用途以及使用场景,mybatis技术原理

Java 程序员 后端

002|CocoaPods 优化知多少?

棒棒彬👻

CocoaPods 认知偏差 工程能力 开源软件

Spring Boot 谷粒学院、谷粒商城项目问题汇总,tomcat面试题

Java 程序员 后端

Spring cloud stream【入门介绍】,java开发实例大全云盘

Java 程序员 后端

Rpc与RMI服务,java面试笔试题代码

Java 程序员 后端

RPC框架编写实践——服务治理的基石,这位阿里P7大牛分析总结的属实到位

Java 程序员 后端

Spring Cloud Gateway限流实战,万字详解微服务的哨兵机制

Java 程序员 后端

Spring Cloud 分布式事务详解及LCN解决方案,mybatis底层原理

Java 程序员 后端

Spring Cloud Stream 编程模型的基础知识,很多老司机都不知道

Java 程序员 后端

Redis持久化--Redis宕机或者出现意外删库导致数据丢失--解决方案

Java 程序员 后端

Seata 新特性,APM 支持 SkyWalking,java流式编程原理

Java 程序员 后端

Spring Boot Redis 实现分布式锁,真香,kalilinux入侵教程

Java 程序员 后端

spring boot 使用Spring Cache集成Redis,java编程基础实验报告小结

Java 程序员 后端

spring boot增删改查,javassm框架面试重点

Java 程序员 后端

Spring Boot核心技术之Rest映射以及源码的分析,java从入门到放弃

Java 程序员 后端

曝光:Android恶意应用巧妙伪装,谷歌紧急出手修复漏洞_大前端_InfoQ精选文章