“我就點(diǎn)一下，錢(qián)就沒(méi)了”！手機(jī)不僅給我們帶來(lái)便利，而且還記錄著我們方方面面的信息，甚至是一言一行。正因此，它成了漏洞制作者、惡意軟件黑客們的頭部目標(biāo)。

近日，國(guó)外信息安全公司Lookout Threat Labs研究發(fā)現(xiàn)一種名為AbstractEmu的新型root Android惡意軟件，Lookout研究人員將它命名為“AbstractEmu”，因?yàn)樗梢栽谑褂么a抽象和反仿真檢查逃避監(jiān)測(cè)。

無(wú)目的多渠道分發(fā) 影響17個(gè)國(guó)家/地區(qū)用戶

AbstractEmu已分布在Google Play和主要的第三方商店，包括亞馬遜應(yīng)用商店、三星Galaxy Store等。目前已發(fā)現(xiàn)19個(gè)相關(guān)應(yīng)用程序員中包含該惡意軟件，7個(gè)包含root功能，其中一個(gè)名為L(zhǎng)ite Launcher的應(yīng)用在Play上的下載量已過(guò)萬(wàn)。為保護(hù)Android用戶安全，谷歌在收到Lookout通知后已經(jīng)刪除惡意程序，而其他應(yīng)用程序商店有可能仍在分發(fā)。

此外，Aptoide、APKPure和其他一些鮮為人知的應(yīng)用商店上也出現(xiàn)了它們的蹤跡。雖然大多數(shù)乃英文編寫(xiě)，但Lookout也發(fā)現(xiàn)了一個(gè)使用越南語(yǔ)傳播的實(shí)例。目前一共有17個(gè)國(guó)家/地區(qū)的人受到AbstractEmu的影響，其中美國(guó)人民受到威脅最大。

在發(fā)現(xiàn)的19個(gè)與惡意軟件相關(guān)的應(yīng)用程序中，大多數(shù)應(yīng)用程序都偽裝成了常用&使用工具類用程序，比如文件、密碼管理器、應(yīng)用程序啟動(dòng)器等。

Lookout研究員表示，在過(guò)去5年，具備root權(quán)限的惡意軟件已很少見(jiàn)到。隨著 Android生態(tài)系統(tǒng)的成熟，能夠影響大量用戶設(shè)備的漏洞越來(lái)越少。

盡管比較罕見(jiàn)，但root惡意軟件是非常危險(xiǎn)的，它可以使用五種不同的已知安全漏洞在智能手機(jī)上獲得“root”權(quán)限，從而獲得比更強(qiáng)大的系統(tǒng)權(quán)限，進(jìn)而可以悄悄訪問(wèn)用戶應(yīng)用程序里的敏感數(shù)據(jù)，也可以安裝其他惡意軟件。

誰(shuí)是幕后黑手？

那么這些root惡意軟件的幕后黑手是誰(shuí)？

雖然無(wú)法確切地說(shuō)出這些幕后操作者，但Lookout分析到，首先他們是一群資源豐富且有經(jīng)濟(jì)動(dòng)機(jī)的團(tuán)隊(duì)，他們的代碼庫(kù)和規(guī)避技術(shù)非常復(fù)雜，例如使用刻錄機(jī)來(lái)記錄電子郵件、姓名、電話號(hào)碼和假名。其次，這些惡意軟件與銀行木馬之間有相似之處，例如他們的應(yīng)用程序分發(fā)和權(quán)限獲取是無(wú)針對(duì)性的。

AbstractEmu利用的漏洞類型也非?，F(xiàn)代，多為2019年和2020年的一些漏洞，它們盡可能多地指向目標(biāo)用戶，例如其中一個(gè)利用漏洞是CVE-2020-0041，以前從未被惡意軟件利用；另一是CVE-2020-0069，這是在聯(lián)發(fā)科芯片中發(fā)現(xiàn)的漏洞，搭載該芯片的智能設(shè)備已暢銷數(shù)百萬(wàn)臺(tái)。此外，他們還修改了 CVE-2019-2215和CVE-2020-0041的公開(kāi)漏洞利用代碼，以支持獲取更多目標(biāo)。

AbstractEmu是如何作惡的？

AbstractEmu在作惡之前，會(huì)采取一系列措施對(duì)自己進(jìn)行不遺余力地“包裝”，從而避免被檢測(cè)到。其次，它的激活也非常容易，用戶打開(kāi)即激活，由于它們偽裝地比較“成功”，很多用戶在下載后便會(huì)與它們進(jìn)行交互。

一旦應(yīng)用被激活后，AbstractEmu首先會(huì)對(duì)設(shè)備進(jìn)行真實(shí)與模擬檢測(cè)，一旦設(shè)備通過(guò)初始分析，應(yīng)用程序?qū)㈤_(kāi)始通過(guò)HTTP與其命令和控制 (C2) 服務(wù)器通信，期望接收一系列JSON命令以執(zhí)行。每個(gè)應(yīng)用程序都包含它支持的硬編碼命令。為了決定執(zhí)行哪個(gè)命令，應(yīng)用程序會(huì)向C2服務(wù)器發(fā)送大量數(shù)據(jù)，包括它支持的命令，以及設(shè)備數(shù)據(jù)，例如設(shè)備制造商、型號(hào)、版本和序列號(hào)、電話號(hào)碼和 IP地址。

AbstractEmu 應(yīng)用程序向 C2 服務(wù)器發(fā)送的數(shù)據(jù)

上番操作之后，AbstractEmu操作員就可以給惡意軟件提供各種命令，例如獲得root權(quán)限、根據(jù)文件的新舊程度或匹配給定模式來(lái)收集和竊取文件，并安裝新的應(yīng)用程序。

從 AbstractEmu 的 C2 服務(wù)器發(fā)送的總共四種不同類型的 JSON 命令

AbstractEmu如何root Android設(shè)備

第一步則是獲取Android設(shè)備的root訪問(wèn)權(quán)限，通過(guò)root設(shè)備，AbstractEmu 惡意軟件可以悄悄地與應(yīng)用程序進(jìn)行交互，修改應(yīng)用程序的一些默認(rèn)設(shè)置。

為確保能夠順利執(zhí)行root操作，惡意程序會(huì)嵌入到root生成和完成之后的隱藏編碼文件中——包括針對(duì)不同漏洞類型的二進(jìn)制文件。默認(rèn)情況下，這些二進(jìn)制文件會(huì)按指定順序執(zhí)行官，但AbstractEmu 的C2服務(wù)器可以更改執(zhí)行順序。

AbstractEmu惡意軟件默認(rèn)執(zhí)行的漏洞表

除了這些二進(jìn)制文件之外，這些應(yīng)用程序還包含三個(gè)編碼的shell腳本和兩個(gè)從 Magisk復(fù)制的編碼二進(jìn)制文件， Magisk是一種允許Android用戶在其設(shè)備上獲取root訪問(wèn)權(quán)限的工具。

在設(shè)備遭到root后，AbstractEmu會(huì)跟蹤通知，截取屏幕和錄制視頻來(lái)阻止設(shè)備重置密碼。

Lookout研究人員表示，root Android或越獄iOS設(shè)備仍然是完全破壞移動(dòng)設(shè)備的最具侵入性的方式。

如何做好防護(hù)？

面對(duì)各種惡意程序跟木馬病毒侵襲，作為普通用戶該如何做好防護(hù)呢？首先，無(wú)論是Android還是iOS操作系統(tǒng)，用戶盡可能地升級(jí)到最新版本；其次，切勿對(duì)系統(tǒng)進(jìn)行“越獄”和“root”操作；第三，盡可能地在正規(guī)渠道下載各種APP，來(lái)路不明的鏈接切勿點(diǎn)擊。當(dāng)然，也歡迎大家留言獻(xiàn)計(jì)獻(xiàn)策。

參考鏈接：

https://blog.lookout.com/lookout-discovers-global-rooting-malware-campaign

本文來(lái)自微信公眾號(hào)“CSDN”（ID:CSDNnews），整理：夢(mèng)依丹，36氪經(jīng)授權(quán)發(fā)布。

關(guān)鍵詞： 惡意 設(shè)備 軟件