将木马藏身图片之中的安卓游戏
作者:星期三, 二月 3, 20160

Google Play上的60多种游戏都有类似木马的功能,可以下载和执行藏身于图片中的恶意代码。该攻击的灵感可能来源于1年前研究人员所展示的一种技术。

640.webp (2)

这些恶意App是被俄罗斯反病毒厂商Doctor Web的研究人员发现的,并且在上周就已报告给了谷歌。该新威胁被命名为Android.Xiny.19.origin。

恶意安卓App一直是Google Play平台上的常见现象,直到几年前谷歌开始实行更严格的检查之后才有所好转。这些检查措施中就包含了一种被称为“Bouncer(门卫)”的自动化扫描器,应用的是模拟仿真技术和基于行为的检测。

绕过Bouncer的检测并非不可能,但Bouncer足以让大多数恶意软件不得其门而入。如今的绝大多数安卓木马都是通过第三方App商店发布的,目标就是那些允许安装“未知源”App的用户。

Android.Xiny.19.origin的制作者看起来意图成功的决心更大些。被该木马感染的游戏可以运行,只是会在后台收集目标设备的特定信息。

这些信息包括:手机唯一的国际移动设备识别码(IMEI)和国际移动用户识别码(IMSI)、MAC地址、移动运营商、国家和语言设置、操作系统版本等等。

攻击者还可以给App下指令让App显示广告,如果手机开放了root权限,还可以静默安装或删除App,甚至启动隐藏在图片里的安卓应用安装包(APKs)。

最后一个功能,也就是利用了隐写术的隐藏代码功能,是该恶意软件最有趣的特征,也使得恶意代码的检测更加困难了。

与会引起怀疑的信息加密不同,隐写术被应用在悄悄隐藏信息上。病毒制作者有意使检测过程复杂化,寄希望于这样一来安全分析员就不会对看起来无害的图片投以关注。

从命令和控制服务器下载了精心编制的图片后,该木马会使用一种特殊的算法从中解析出APK包。然后用安卓的DexClassLoader类装载器将恶意代码加载到设备内存中。

这种攻击模式与2014年黑帽欧洲安全大会上研究员阿克谢勒·阿普利乐和安格·阿伯缇尼演示的一个概念十分相似。

那个时候,两位研究员展示了他们能够将APK包塞进一个图片文件中,而且这张图片在打开时还能正常显示。只要应用相应的解密算法,他们还能从图片中还原出那个APK包。此外,还可以用DexClassLoader动态加载该APK报到内存,就跟现在的Android.Xiny.19.origin所做的一模一样。

相关阅读

Stegoloader——可隐藏在PNG图片直接进驻内存的木马

 


相关文章

写一条评论

 

 

0条评论