『新智元』Google Play应用被植入病毒,背后又是这个黑客组织搞的鬼
本文插图
新智元原创
编辑:白峰
Google Play被戏耍 , 恶意程序已上架多年
著名杀毒软件公司卡巴斯基的研究人员表示 , 多年来 , 黑客们一直在使用 Google Play 散布一种非常先进的后门程序 , 这种后门能够窃取大量敏感数据 。
本文插图
卡巴斯基实验室的一位代表说 , 他们已经恢复了至少8个可以追溯到2018年的 Google Play 应用程序 。 研究人员认为来自同一个组织的恶意应用程序从2016年就开始在谷歌的官方市场上传播 。
在卡巴斯基的研究人员报告了这些恶意软件后 , 谷歌立即删除了这些软件的最新版本 。第三方市场也托管了这些备受诟病的应用程序 , 其中许多仍然可以使用 。
多次绕过Google Play的安全检查 , 官方拒绝透露细节
攻击者主要使用了两种方法绕过Google Play的审查程序 。 一种方法是首先提交一个无后门的应用程序 , 然后在该应用程序被接受后才添加后门 。
另一种方法是在安装过程中不使用授权 , 使用过程中用隐藏在可执行文件中的代码发起动态请求 。
这些应用程序提供的后门来主要用来收集被感染手机的数据 , 包括硬件参数、运行的 Android 版本以及已安装的应用程序列表 。
本文插图
【『新智元』Google Play应用被植入病毒,背后又是这个黑客组织搞的鬼】
基于这些信息 , 攻击者可以收集到手机用户的位置、通话记录、联系人、文本信息和其他敏感信息 。
卡巴斯基实验室的研究人员 Alexey Firsh 和 Lev Pikman 在一篇文章中写道: 「我们对所有这些版本操作的主要理论是 , 攻击者试图使用不多种黑客技术绕过了谷歌的官方审查」 。
谷歌拒绝透露上述恶意应用程序是如何绕过程序审查的 。
大多数应用程序都要求手机root的功能 , 所以不要随便root你的手机了!
这些应用程序的巧妙之处在于 , 当用户可以访问 root 权限时 , 恶意软件会对一个名为“ setUidMode”的无证编程接口进行反射调用 , 以获得权限 , 而无需用户参与 。 由卡巴斯基实验室识别的应用程序包括:
本文插图
神秘黑客组织浮出水面 , 技术虽老但很有效
卡巴斯基的研究人员将该黑客组织的攻击称为「幻想运动」 , 他们确信这一系列长达数年的攻击是 OceanLotus 所为 。 该组织主要攻击亚洲各国政府、持不同政见者和采访人员 。
本文插图
OceanLotus小组也称为APT32和APT-C-00 , 以针对亚洲东部地区的黑客行为而声名狼藉 。 该小组不断更新其后门软件和基础架构 , 擅长使用多种技巧诱导用户执行后门程序 , 以减慢其分析速度从而避免被检测到 。
本文插图
该组织的惯用后门程序主要分为两部分:dropper和backdoor launcher 。
我们拿一个典型的攻击流程来看一下是被攻击者是如何中招的 , dropper伪装成常规字体的TrueType字体更新程序 。
本文插图
dropper
当执行时 , 二进制文件解密其资源(使用128字节的硬编码密钥进行XOR)并解压缩解密的数据(LZMA) 。 合法的RobotoSlab-Regular.ttf文件被写入%temp%文件夹并通过Win32 API函数ShellExecute运行 。
推荐阅读
- |麒麟990加持 荣耀Play4 Pro价格2000元以下
- 右手网|Android 手机将通过 Google Clock 更新获得 “就寝模式” 等新功能
- google|shopify卖家快上车!google送免费广告位了
- 飞象网|Google为Pixel机型推送6月安全补丁
- 麒麟|麒麟990加持 荣耀Play4 Pro价格2000元以下
- 新智元|B站上线!DeepMind加UCL强强联手推出深度学习与强化学习进阶课程(附视频)
- 手机之家|荣耀Play 4系列明天发布 搭载40W超级快充
- |麒麟990下放 荣耀Play4系列明天发布:40W超级快充
- 机智万象|原创 高管确认荣耀Play4系列将支持红外测温 网友曝光全系配置差异明显
- 数码圈那些事er|荣耀Play4 Pro详细配置曝光