惡意軟體Chrysaor在Android平臺上的調查結果
Google 一直在努力改進自身系統,以防止使用者受到潛在有害應用 (PHA) 的侵害。PHA 程式設計者通常試圖將其有害應用安裝到儘可能多的裝置上。但也有少數 PHA 程式設計者會花費大量精力、時間和金錢來開發只安裝在一臺或極少量裝置上的有害應用。這稱為針對性攻擊。
在這篇博文中,我們將介紹 Chrysaor 這個被用來對少量 Android 裝置進行鍼對性攻擊的新發現的間諜軟體系列,以及為什麼說這樣的調查有助於 Google 防止 Android 使用者受到各類威脅的侵害。
什麼是 Chrysaor?
Chrysaor 是一種間諜軟體,據信由 NSO Group Technologies 開發,這家公司專門從事針對性攻擊用途軟體和基礎架構的開發和銷售。Chrysaor 據說與 Pegasus 間諜軟體有關,後者最先發現於 iOS 平臺,Citizen Lab 和 Lookout 對其進行過分析。
去年年底,收到 Lookout 提供的一份可疑軟體包名稱列表後,我們發現有幾十臺 Android 裝置可能安裝了一款與 Pegasus 有關的應用,我們將該應用命名為 Chrysaor。儘管這些應用從未在 Google Play 中釋出,但我們利用驗證應用立即確定了問題的範圍。我們從受影響的裝置收集資訊,同時嘗試獲得 Chrysaor 應用,以便深入瞭解其對使用者的影響。我們聯絡了潛在受影響的使用者,在受影響裝置上停用了這些應用,並在 “驗證應用” 中實現了相應變更以保護所有使用者。
Chrysaor 的影響範圍有多大?
Chrysaor 從未在 Google Play 中釋出,在 Google Play 之外的安裝量也很少。據我們觀察,在受到 “驗證應用” 保護的逾 14 億臺裝置中,只有不到 36 臺受害裝置安裝了 Chrysaor。這些裝置分佈於以下國家/地區:
我們如何為您提供保護
為保護 Android 裝置和使用者,Google Play 提供了一整套在平臺釋出以外進行更新的安全服務。使用者不必安裝任何額外的安全服務就能確保裝置的安全。在 2016 年,這些服務為逾 14 億臺裝置提供了保護,這使 Google 躋身全球最大裝置內建安全服務提供商之列:
利用人員、雲端系統以及從裝置傳來的資料識別 PHA
警告使用者不要安裝或阻止使用者安裝 PHA
不間斷掃描裝置,查詢 PHA 和其他有害威脅
此外,我們還提供詳細的技術資訊,以幫助安全行業與我們一起共同對抗 PHA。
我需要做什麼?
您或您認識的人受到 Chrysaor 惡意軟體影響的可能性極低。我們通過調查發現,受 Chrysaor 影響的裝置不到 36 臺,我們在這些裝置上停用了 Chrysaor,並通知了所有已知受影響裝置的使用者。此外,我們還為所有使用我們安全服務的使用者啟用了改良版保護。
為確保全面防範 PHA 和其他威脅,我們建議您完成下面這 5 個基本步驟:
只安裝來源正規的應用:安裝來自 Google Play 等正規來源的應用。Google Play 上不存在 Chrysaor 應用。
啟用安全的鎖定螢幕:為自己挑選一個易記而又讓他人難猜的 PIN 碼、圖案或密碼。
更新您的裝置:及時為您的裝置更新最新的安全補丁程式。
驗證應用:確保 “驗證應用” 已啟用。
定位您的裝置:練習通過 Android 裝置管理器查詢您的裝置,因為與安裝 PHA 相比,丟失裝置的可能性要大得多。
Chrysaor 是如何工作的?
我們認為,為了安裝 Chrysaor,攻擊者通過哄騙手段誘使其具體針對的個人將惡意軟體下載到裝置上。一旦安裝了 Chrysaor,一名遠端操作員就能通過充分利用麥克風、攝像頭、資料收集以及對電話和簡訊等通訊應用上的應用活動進行記錄和追蹤,對受害者在裝置上以及裝置附近的活動實施監視。
我們分析過的一個示例 Chrysaor 應用具有代表性,該應用是專門針對執行 Jellybean (4.3) 或更低版本的裝置量身定製的。以下是對一款名為 com.network.android 的 Chrysaor 應用範圍和影響的回顧,該應用專為 Samsung 目標裝置量身定製,其 SHA256 摘要如下:
安裝後,該應用會利用已知的 framaroot 漏洞提升許可權並破壞 Android 的應用沙盒。如果目標裝置不容易受到這些漏洞攻擊,則該應用會嘗試使用預先放置在 /system/csk 的超級使用者二進位制檔案來提升許可權。
提升許可權後,該應用會立即通過以下手段進行自我保護並開始收集資料:
將自身安裝在 /system 分割槽,以便在恢復出廠設定後得到保留
解除安裝 Samsung 的系統更新應用 (com.sec.android.fotaclient) 並停用自動更新,以便保留自身(將 Settings.System.SOFTWARE_UPDATE_AUTO_UPDATE 設定為 0)
刪除 WAP 推送訊息並更改 WAP 訊息設定,這可能是出於反取證目的。
啟動內容觀察器和主任務迴圈,以便接收遠端命令和漏出資料
該應用採用六種方法來收集使用者資料:
重複命令:利用鬧鈴定期在裝置上重複執行操作來暴露資料,包括收集位置資料。
資料收集器:將裝置上的全部現有內容轉儲到佇列中。資料收集器與重複命令聯用,通過將應用的 /data/data 目錄設定為全域性可讀來收集使用者資料,其中包括簡訊設定、簡訊、通話記錄、瀏覽器歷史記錄、日曆、聯絡人、電子郵件以及來自選定訊息傳遞應用(包括 WhatsApp、Twitter、Facebook、Kakoa、Viber 和 Skype)的訊息。
內容觀察器:利用 Android 的 ContentObserver 框架來收集簡訊、日曆、聯絡人、行動電話資訊、電子郵件、WhatsApp、Facebook、Twitter、Kakao、Viber 和 Skype 的變化。
螢幕截圖:通過原始幀緩衝區採集當前螢幕的影象。
按鍵記錄:通過從 /system/lib/libbinder.so 掛接 IPCThreadState::Transact和使用介面 com.android.internal.view.IInputContext 攔截 android::parcel 來記錄輸入事件。
RoomTap:以靜音方式接聽電話並在後臺保持連線,從而讓來電者能夠聽到電話麥克風受話範圍內的談話。如果使用者解鎖裝置,則會在應用結束通話電話、重置通話設定併為使用者與裝置正常互動做準備時看到黑屏現象。
最後,該應用可通過三種方式自我解除安裝:
通過伺服器發出的命令
60 天后裝置還沒能在伺服器上籤入時自動解除安裝
通過消解檔案。如果裝置上存在 /sdcard/MemosForNotes,Chrysaor 應用會將自身從裝置上解除安裝。
上傳至 VirusTotal 的示例應用
為鼓勵安全社群做進一步研究,我們已將這些示例 Chrysaor 應用上傳至 Virus Total。
軟體包名稱 |
SHA256 摘要 |
SHA1 證書 |
com.network.android |
ade8bef0ac29fa363fc9afd958af0074478aef650adeb0318517b48bd996d5d5 |
44f6d1caa257799e57f0ecaf4e2e216178f4cb3d |
com.network.android |
3474625e63d0893fc8f83034e835472d95195254e1e4bdf99153b7c74eb44d86 |
516f8f516cc0fd8db53785a48c0a86554f75c3ba |
其他包含 Chrysaor 連結的摘要
其他包含 Chrysaor 連結的摘要
我們通過調查發現了其他一些與 Chrysaor 有關的應用。
軟體包名稱 |
SHA256 摘要 |
SHA1 證書 |
com.network.android |
98ca5f94638768e7b58889bb5df4584bf5b6af56b188da48c10a02648791b30c |
516f8f516cc0fd8db53785a48c0a86554f75c3ba |
com.network.android |
5353212b70aa096d918e4eb6b49eb5ad8f59d9bec02d089e88802c01e707c3a1 |
44f6d1caa257799e57f0ecaf4e2e216178f4cb3d |
com.binary.sms.receiver |
9fae5d148b89001555132c896879652fe1ca633d35271db34622248e048c78ae |
7771af1ad3a3d9c0b4d9b55260bb47c2692722cf |
com.android.copy |
e384694d3d17cd88ec3a66c740c6398e07b8ee401320ca61e26bdf96c20485b4 |
7771af1ad3a3d9c0b4d9b55260bb47c2692722cf |
com.android.copy |
12e085ab85db887438655feebd249127d813e31df766f8c7b009f9519916e389 |
7771af1ad3a3d9c0b4d9b55260bb47c2692722cf |
com.android.copy |
6348104f8ef22eba5ac8ee737b192887629de987badbb1642e347d0dd01420f8 |
31a8633c2cd67ae965524d0b2192e9f14d04d016 |
Lookout 自行獨立完成了對我們獲得的示例應用的分析,您可以通過點選 “閱讀原文” 檢視詳細的報告。
推薦閱讀:
Android 相容性 | 充分利用新款 Android 旗艦裝置上更大的縱橫比
馬上報名 | Google Play 線上訓練營四月課程報名及三月課程總結
相關文章
- Android平臺各類惡意軟體及病毒概覽Android
- Cuckoo惡意軟體自動化分析平臺搭建
- MISP-惡意軟體資訊共享平臺和威脅共享
- 調查:移動端惡意軟體一年瘋長614%
- 你的Android裝置有惡意軟體嗎?Android
- 針對Linux和Windows使用者的新型多平臺惡意軟體LinuxWindows
- 是防毒軟體”失職“還是惡意軟體太”狡猾“?惡意軟體可繞過Android防護系統防毒Android
- Windows Phone惡意軟體率僅0.3% 成為最安全手機平臺Windows
- AV-Test:Google的惡意軟體篩查成績最好Go
- 新惡意軟體可盜取Steam、Epic等多個遊戲平臺賬號遊戲
- Zero Access惡意軟體分析
- 三個在 Fedora 平臺上撰寫 Markdown 的軟體
- ANDROID勒索軟體黑產研究 ——惡意軟體一鍵生成器Android
- Android平臺每18秒就有一個惡意程式誕生Android
- 中國反惡意軟體聯盟於昨天在天津成立
- linux ddos惡意軟體分析Linux
- 惡意軟體Linux/Mumblehard分析Linux
- 【活在中國】誰是惡意軟體?
- OpenCV在Android平臺上的應用OpenCVAndroid
- NSS Labs:微軟在阻止惡意軟體的下載方面最佳微軟
- 惡意軟體Emotet 的新攻擊方法
- AV-Comparatives最新Windows 10平臺防毒軟體測試結果Windows防毒
- 研究發現微軟 OneDrive 上儲存的惡意軟體突然大幅增加微軟
- 擁有相同的起源的Android惡意軟體家族——GM BOT&SlemBunkAndroid
- 中國將專門成立協調小組 嚴打惡意軟體(轉)
- 惡意軟體PE檔案重建指南
- 安全應用與惡意軟體在您的手機一較高下
- 在 Linux 上安裝和使用惡意軟體檢測工具 LMD 及防毒引擎 ClamAVLinux防毒
- Android漏洞允許黑客通過NFC傳播惡意軟體Android黑客
- 駭客仿冒ChatGPT應用程式,傳播Windows、Android惡意軟體ChatGPTWindowsAndroid
- 隱藏在xml檔案中的惡意軟體XML
- 【relink】在LINUX/UNIX平臺上relink Oracle軟體LinuxOracle
- google廣告無法上線 提示拒登:網站含有惡意軟體或垃圾軟體Go網站
- 新惡意軟體使用Tor在MacOSX系統開啟“後門”Mac
- 2017 年 Laravel 調查結果Laravel
- 偽裝為 WAV 的惡意軟體在受害裝置上挖礦,但其 bug 導致藍屏
- TrickBot和Emotet再奪惡意軟體之冠
- 動態惡意軟體分析工具介紹