安基網 首頁 資訊 安全報 查看內容

Google Play應用被植入病毒,背后又是這個黑客組織搞的鬼

2020-5-3 01:46| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 著名殺毒軟件公司卡巴斯基的研究人員表示,多年來,黑客們一直在使用 Google Play 散布一種非常先進的后門程序,這種后門能夠竊取大量敏感數據。

原標題:Google Play應用被植入病毒,背后又是這個黑客組織搞的鬼 來源:騰訊新聞

新智元原創

編輯:白峰

Google Play被戲耍,惡意程序已上架多年

著名殺毒軟件公司卡巴斯基的研究人員表示,多年來,黑客們一直在使用 Google Play 散布一種非常先進的后門程序,這種后門能夠竊取大量敏感數據。


卡巴斯基實驗室的一位代表說,他們已經恢復了至少8個可以追溯到2018年的 Google Play 應用程序。研究人員認為來自同一個組織的惡意應用程序從2016年就開始在谷歌的官方市場上傳播。

在卡巴斯基的研究人員報告了這些惡意軟件后,谷歌立即刪除了這些軟件的最新版本。 第三方市場也托管了這些備受詬病的應用程序,其中許多仍然可以使用。

多次繞過Google Play的安全檢查,官方拒絕透露細節

攻擊者主要使用了兩種方法繞過Google Play的審查程序。一種方法是首先提交一個無后門的應用程序,然后在該應用程序被接受后才添加后門。

另一種方法是在安裝過程中不使用授權,使用過程中用隱藏在可執行文件中的代碼發起動態請求。

這些應用程序提供的后門來主要用來收集被感染手機的數據,包括硬件參數、運行的 Android 版本以及已安裝的應用程序列表。

基于這些信息,攻擊者可以收集到手機用戶的位置、通話記錄、聯系人、文本信息和其他敏感信息。

卡巴斯基實驗室的研究人員 Alexey Firsh 和 Lev Pikman 在一篇文章中寫道: 「我們對所有這些版本操作的主要理論是,攻擊者試圖使用不多種黑客技術繞過了谷歌的官方審查」。

谷歌拒絕透露上述惡意應用程序是如何繞過程序審查的。

大多數應用程序都要求手機root的功能,所以不要隨便root你的手機了!

這些應用程序的巧妙之處在于,當用戶可以訪問 root 權限時,惡意軟件會對一個名為“ setUidMode”的無證編程接口進行反射調用,以獲得權限,而無需用戶參與。由卡巴斯基實驗室識別的應用程序包括:

神秘黑客組織浮出水面,技術雖老但很有效

卡巴斯基的研究人員將該黑客組織的攻擊稱為「幻想運動」,他們確信這一系列長達數年的攻擊是 OceanLotus 所為。該組織主要攻擊亞洲各國政府、持不同政見者和記者。

OceanLotus小組也稱為APT32和APT-C-00,以針對亞洲東部地區的黑客行為而聲名狼藉。該小組不斷更新其后門軟件和基礎架構,擅長使用多種技巧誘導用戶執行后門程序,以減慢其分析速度從而避免被檢測到。

該組織的慣用后門程序主要分為兩部分:dropper和backdoor launcher。

我們拿一個典型的攻擊流程來看一下是被攻擊者是如何中招的,dropper偽裝成常規字體的TrueType字體更新程序。

dropper

當執行時,二進制文件解密其資源(使用128字節的硬編碼密鑰進行XOR)并解壓縮解密的數據(LZMA)。合法的RobotoSlab-Regular.ttf文件被寫入%temp%文件夾并通過Win32 API函數ShellExecute運行。

從資源解密的shellcode被執行后,偽字體更新程序將刪除另一個應用程序,也就是釋放了「臟彈」之后再把自己刪掉。

Shellcode

Shellcode檢索三個Windows API函數:VirtualAlloc,RtlMoveMemory和RtlZeroMemory。

Real Dropper

該可執行文件通過Windows API使用具有CBC模式的AES算法解密其資源,然后就得到了合法的可執行程序rastlsc.exe。

backdoor launcher

rastlsc.exe通過在同一文件夾內寫入惡意庫rastlsc.dll來利用合法且經過簽名的可執行文件的庫加載后門程序,這樣它看起來就合法了,因為這些操作是由受信任的可執行進程執行的。

作為普通用戶,我們要時刻提高警惕,不打開來源不明的軟件,及時更新系統補丁和殺毒軟件,盡量避免遭受此類攻擊。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:http://finance.sina.com.cn/stock/relnews/us/2020-05-02/doc-iirczymi9513863.shtml

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人
1

路過

雞蛋

剛表態過的朋友 (1 人)

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 湖北快三预测 股票分析软件哪个好用 用过的介绍一些 湖北快3和值三同号推荐 连续下跌股票一览表 好运快三官方网站 广东11选5任八遗漏 安徽彩票快3走势图表 江西快三投注 手机怎么玩股票 上海投资理财平台