近日,Lookout Threat Lab 的安全研究人員發現了一種新型 root 惡意軟體,包括 Google Play 及亞馬遜應用商店、三星 Galaxy 商店、Aptoide和APKPure 等知名 Android 裝置的第三方商店成了“重災區”。
據瞭解,root 功能是一種完能完全控制受感染的手機等移動裝置的許可權。由於Android 是基於Linux開發的,因此同樣擁有Root概念。一般而言,獲取Root許可權的Android手機將對系統檔案存在最高階別的操作許可權。但當惡意軟體獲取了root許可權之後,將會植根於Android裝置,對裝置進行完全控制和靜默地調整系統設定,並使用程式碼抽象和反模擬檢查來逃避檢測。
Lookout 將該惡意軟體命名為“AbstractEmu”,因為它使用了程式碼抽象和反模擬檢查,可以避免在分析過程中執行。
(上圖“Lite Launcher”是應用程式啟動器的替代品,是出現在Google Play上的AbstractEmu應用程式之一。已超過10000次下載。)
目前,Lookout 總共發現了 19 個相關應用程式,其中 7 個包含 root 功能,另外有 1 個在播放中的下載量超過 10000 次。為了保護 Android 使用者,Lookout 方面已經通知了他們關於惡意軟體的情況,現在谷歌方面已立即刪除了該應用程式。
眾所周知,如今 Android 生態系統正在趨於成熟,被此類惡意軟體入侵而影響大量裝置的機會也越來越少。儘管很少見,但“懂的都懂”,root 惡意軟體確實非常危險。
root 惡意軟體可以通過 rooting 程式獲得對 Android 作業系統的特權訪問,可悄悄授予危險許可權或安裝額外惡意軟體,這些步驟通常需要使用者互動,提升的許可權還允許惡意軟體訪問其他應用程式的敏感資料,因此會對裝置使用者帶來重大安全威脅。
針對更多 Android 裝置升級的漏洞攻擊
為了“感染” Android 裝置,root 惡意軟體 AbstractEmu 還有多種工具可供使用,這些工具針對多個漏洞進行攻擊,包括 CVE-2020-0041,在此之前,Android 應用程式從未利用過這一漏洞。
該惡意軟體還利用 CVE-2020-0069 漏洞,濫用數十家智慧手機制造商使用的聯發科晶片中發現的漏洞,這些製造商總共銷售了數百萬臺裝置。
此外,AbstractEmu 背後的威脅參與者也擁有足夠的技能和技術訣竅,可以為CVE-2019-2215和CVE-2020-0041漏洞利用的公開程式碼新增對更多目標的支援。
Lookout研究人員表示:“這是一個重大發現,因為在過去五年中,具有根功能的廣泛分佈的惡意軟體已經變得非常罕見。”。
“通過使用根程式獲得對Android作業系統的特權訪問,威脅參與者可以默默地授予自己危險的許可權或安裝額外的惡意軟體,這些步驟通常需要使用者互動。”
AbstractEmu 將等待來自其C2伺服器的命令,該伺服器可指示其根據檔案的新程度獲取和過濾檔案,或匹配給定模式、根感染裝置或安裝新應用程式。
AbstractEmu在為受感染的裝置設定根目錄後可以執行的其他操作包括監視通知、捕獲螢幕截圖、記錄螢幕、鎖定裝置,甚至重置裝置密碼。
研究人員補充稱:“提升的許可權還使惡意軟體能夠訪問其他應用程式的敏感資料,這在正常情況下是不可能的。”