带后门的SDK和恶意预装应用是最大的威胁……

2017年谷歌安全团队发现 “Chamois” 恶意软件家族时,他们指出了其非同一般的复杂性。

该恶意软件最初是在一次常规广告流量质量评估中被发现的,该广告欺诈恶意软件通过一系列渠道传播,悄悄成为了安卓历史上最大型最多面的恶意应用。

Chamois的编码十分优美,有4个阶段的投送载荷,使用多种混淆和反分析技术,其配置文件采用定制加密存储,且该恶意软件十分庞大。

正如安卓安全工程师在初次发现Chamois时所描述的:

为分析该恶意软件,我们的安全团队筛查了超过10万行代码。这些代码似乎是专业程序员编写的,十分复杂。

该恶意软件可将无辜用户的流量导引向广告,在后台安装应用,通过发送付费短信的方式进行电信欺诈;还能下载和执行另外的插件。如今,沉寂一年多的恶意软件又死灰复燃了。

安卓恶意软件Chamois随SDK和预装应用卷土重来

谷歌4月1日发布的《2018安卓安全报告》中称,该恶意软件最初的两个变种被谷歌检测并摧毁后,2017年11月在谷歌Play之外的地方又出现了,而在2018年更是以袭击1.99亿台安卓设备之势卷土重来。

《报告》指出,Chamois采用多种分发机制,包括作为预装应用和广告SDK(软件开发包)安装和注入到流行侧加载应用中,是一种工程精巧的复杂恶意软件。

谷歌 Play Protect 将Chamois分类为后门,因为该恶意软件拥有远程命令与控制功能。Chamois的载荷多种多样,从一系列广告欺诈载荷到短信欺诈到动态代码加载都有。

更新过的检测和缓解技术在2018年又一次挫败了该恶意软件的大肆传播,但Chamois几乎肯定会重新出现。(谷歌 Play Protect 每天扫描超20亿台设备的500亿个应用。谷歌也开设了新的 Play Protect 开发者网站。)

安卓恶意软件“Idle Coconut”可致手机加入代理网络

2018年另一款流行恶意软件变种是 “Idle Coconut” ——开发者添加进其应用程序用来赚钱的一个SDK。

《报告》指出:应用被复用为某种商业VPN的终端,通过受影响安卓设备路由流量。该SDK使用websocket与命令与控制(CnC)服务器通信,然后通过‘正常’套接字连接CnC控制下的主机。这些行为都是隐秘进行,用户设备不知不觉中就成为了代理网络的一部分。

2018年这两大安卓威胁都源自潜在有害应用(PHA)和带后门SDK的增长;前者通过供应链漏洞利用或原始设备制造商(OEM)推荐 “合法” 应用,以及将合法系统更新与PHA绑定的无线(OTA)更新。

该年度安卓安全报告更加强调的是安全成就,包括:

  • 2018年里,只使用谷歌Play下载应用的设备仅0.08%受PHA影响。

  • 使用非谷歌Play渠道安装应用的设备受PHA影响的比例高出8倍,但相比前一年,这些设备感染恶意软件的概率还是降低了15%。

  • 2018年,谷歌 Play Protect 阻止了16亿PHA安装尝试。

谷歌在报告中称,2018年提升安卓安全的工作还包括:交付增强的应用沙箱、强化开发者API,以及增加基于硬件的安全投入。

Chamois初始报道:

https://android-developers.googleblog.com/2017/03/detecting-and-eliminating-chamois-fraud.html

谷歌《2018安卓安全报告》:

https://source.android.com/security/reports/Google_Android_Security_2018_Report_Final.pdf

谷歌 Play Protect 开发者网站:

https://developers.google.com/android/play-protect/

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。