root 恶意软件卷土重来!Google Play 及亚马逊、三星 Galaxy 等应用商店成“重灾区”

近日,Lookout Threat Lab 的安全研究人员发现了一种新型 root 恶意软件,包括 Google Play 及亚马逊应用商店、三星 Galaxy 商店、Aptoide和APKPure 等知名 Android 设备的第三方商店成了“重灾区”。

root 恶意软件卷土重来!Google Play 及亚马逊、三星 Galaxy 等应用商店成“重灾区”_第1张图片

据了解,root 功能是一种完能完全控制受感染的手机等移动设备的权限。由于Android 是基于Linux开发的,因此同样拥有Root概念。一般而言,获取Root权限的Android手机将对系统文件存在最高级别的操作权限。但当恶意软件获取了root权限之后,将会植根于Android设备,对设备进行完全控制和静默地调整系统设置,并使用代码抽象和反模拟检查来逃避检测。

root 恶意软件卷土重来!Google Play 及亚马逊、三星 Galaxy 等应用商店成“重灾区”_第2张图片

Lookout 将该恶意软件命名为“AbstractEmu”,因为它使用了代码抽象和反仿真检查,可以避免在分析过程中运行。

root 恶意软件卷土重来!Google Play 及亚马逊、三星 Galaxy 等应用商店成“重灾区”_第3张图片

(上图“Lite Launcher”是应用程序启动器的替代品,是出现在Google Play上的AbstractEmu应用程序之一。已超过10000次下载。)

目前,Lookout 总共发现了 19 个相关应用程序,其中 7 个包含 root 功能,另外有 1 个在播放中的下载量超过 10000 次。为了保护 Android 用户,Lookout 方面已经通知了他们关于恶意软件的情况,现在谷歌方面已立即删除了该应用程序。

众所周知,如今 Android 生态系统正在趋于成熟,被此类恶意软件入侵而影响大量设备的机会也越来越少。尽管很少见,但“懂的都懂”,root 恶意软件确实非常危险。

root 恶意软件可以通过 rooting 进程获得对 Android 操作系统的特权访问,可悄悄授予危险权限或安装额外恶意软件,这些步骤通常需要用户交互,提升的权限还允许恶意软件访问其他应用程序的敏感数据,因此会对设备用户带来重大安全威胁。

针对更多 Android 设备升级的漏洞攻击

为了“感染” Android 设备,root 恶意软件 AbstractEmu 还有多种工具可供使用,这些工具针对多个漏洞进行攻击,包括 CVE-2020-0041,在此之前,Android 应用程序从未利用过这一漏洞。

root 恶意软件卷土重来!Google Play 及亚马逊、三星 Galaxy 等应用商店成“重灾区”_第4张图片

该恶意软件还利用 CVE-2020-0069 漏洞,滥用数十家智能手机制造商使用的联发科芯片中发现的漏洞,这些制造商总共销售了数百万台设备。

此外,AbstractEmu 背后的威胁参与者也拥有足够的技能和技术诀窍,可以为CVE-2019-2215和CVE-2020-0041漏洞利用的公开代码添加对更多目标的支持。

Lookout研究人员表示:“这是一个重大发现,因为在过去五年中,具有根功能的广泛分布的恶意软件已经变得非常罕见。”。

“通过使用根进程获得对Android操作系统的特权访问,威胁参与者可以默默地授予自己危险的权限或安装额外的恶意软件,这些步骤通常需要用户交互。”

AbstractEmu 将等待来自其C2服务器的命令,该服务器可指示其根据文件的新程度获取和过滤文件,或匹配给定模式、根感染设备或安装新应用程序。

AbstractEmu在为受感染的设备设置根目录后可以执行的其他操作包括监视通知、捕获屏幕截图、记录屏幕、锁定设备,甚至重置设备密码。

root 恶意软件卷土重来!Google Play 及亚马逊、三星 Galaxy 等应用商店成“重灾区”_第5张图片

研究人员补充称:“提升的权限还使恶意软件能够访问其他应用程序的敏感数据,这在正常情况下是不可能的。”

你可能感兴趣的:(root 恶意软件卷土重来!Google Play 及亚马逊、三星 Galaxy 等应用商店成“重灾区”)