植入Android設備的隱形木馬在應用商店中仍然大量存在并造成重大危害

據報道，網絡犯罪分子已經在Google Play應用商店中植入了帶有惡意代碼的功能齊全的木馬應用程序，以逃避安全檢測。

近年來，Google Play商店在監管惡意軟件方面做得更好，提高了網絡攻擊者的入侵難度，但精心設計的隱蔽型木馬程序仍不時出現。Abstract Emu就是這樣的一種木馬病毒，這是最近發現的一種偽裝成實用應用程序的威脅，能夠通過root漏洞獲得對Android設備的完全控制。

安全服務商Lookout公司的研究人員在最近的一項分析中說：“這是一個重大發現，因為在過去五年中，具有root權限的惡意軟件變得很少見。隨著Android生態系統的成熟，影響大量設備的安全漏洞越來越少，從而使它們對威脅行為者的用處越來越小。”

Abstract Emu出現在Google Play、Amazon Appstore、Samsung GalaxyStore和其他較少使用的應用程序商店中，如Aptoide和APKPure。這通常提醒企業和移動設備用戶小心謹慎，雖然從受信任的應用程序商店下載應用程序顯著地降低了移動設備受損的可能性，但這不是靈丹妙藥，需要額外的保護和監控。選擇提供定期和及時操作系統安全補丁的設備非常重要，同時限制設備上的應用程序數量，并刪除不需要的應用程序。

出于經濟動機的全球運動

Lookout的研究人員表示，Abstract Emu惡意軟件被發現存在于19個偽裝成密碼管理器、應用啟動器、數據保護程序、環境照明廣告攔截和其他應用程序中。其中一些名稱包括Anti-ads Browser、Data Saver、Lite Launcher、My Phone、Night Light、All Passwords和Phone Plus。例如，Lite Launcher在下架時在Google Play上的下載量超過1萬次。

所有應用程序似乎功能齊全，這表明它們可能是被惡意修改和重命名的合法應用程序。除了上傳到各種應用程序商店之外，研究人員還發現這些應用程序在社交媒體和Android相關論壇上主要以英語進行推廣，但也發現了一個越南語的廣告。

研究人員說：“除了應用程序的無針對性分發之外，通過root訪問授予的廣泛權限與我們之前觀察到的其他出于經濟動機的威脅一致。這包括銀行木馬程序的常見權限請求，使他們能夠接收通過SMS發送或在后臺運行，并發起網絡釣魚攻擊的任何雙因素身份驗證代碼。還有允許與設備進行遠程交互的權限，例如捕獲屏幕上的內容和訪問無障礙服務，這使威脅行為者能夠與設備上的其他應用程序交互，其中包括金融應用程序。兩者都類似于Anatsa和Vultur惡意軟件系列請求的權限。”

來自至少17個國家或地區的用戶受到了這種新木馬的影響，盡管日益廣泛的網絡目標和其他方面表明了其經濟動機，但該惡意軟件的間諜軟件功能非常廣泛，也可以用于其他目的。不幸的是，研究人員無法檢索從命令和控制服務器提供的最終有效載荷以確認網絡攻擊者的目標。

Rooting、反仿真和動態有效載荷

分布在應用商店的Abstract Emul應用程序包含嘗試確定應用程序是在模擬環境中還是在真實設備上運行的代碼。這是一種重要的檢測規避策略，因為Google Play會在掃描代碼之前在模擬器中執行提交的應用程序，許多其他安全供應商也是如此。這些檢查類似于來自名為Emulator Detector的開源庫的檢查，包括檢查設備的系統屬性、已安裝的應用程序列表和文件系統。

一旦應用程序確定它在真實設備上運行，它將開始與網絡攻擊者的服務器通信并上傳有關設備的其他信息，包括其制造商、型號、版本、序列號、電話號碼、IP地址、時區和帳戶信息。

然后，服務器將使用此設備信息來確定應用程序是否應該嘗試對設備進行root操作——通過利用漏洞獲得完全管理權限(root)。該應用程序以編碼形式捆綁了幾個漏洞的利用，它們的執行順序由命令和控制服務器的響應決定。

Abstract Emu包括較新和較舊的root漏洞：CVE-2020-0069、CVE-2020-0041、CVE-2019-2215(Qu1ckr00t)、CVE-2015-3636(PingPingRoot)和CVE-2015-1805(iovyroot)。

CVE-2020-0069是聯發科命令隊列驅動程序(或CMDQ驅動程序)中的一個特權升級漏洞，它影響了數百萬臺使用來自不同制造商的基于聯發科芯片組的設備。該漏洞已于2020年3月修補，但自從那時起不再受支持且未從制造商處獲得安全更新的設備仍然容易受到攻擊。

CVE-2020-0041也是一個特權升級漏洞，已于2020年3月修補，但會影響Android Binder組件。限制因素是只有較新的內核版本才有這個漏洞，而且許多Android設備使用較舊的內核。

近年來，許多Android廠商在及時發布Android安全更新方面取得了進展，尤其是針對其旗艦機型，但Android生態系統碎片化仍然是一個問題。

制造商有多個產品線，每個產品線都有不同的芯片組和自定義固件，因此，即使谷歌公司每月發布補丁，為如此多樣化的設備組合集成這些補丁并提供固件更新也可能需要幾天到數月的時間。一般來說，較新和較高端的設備可以更快地獲得補丁，但不同制造商的補丁時間可能有很大差異。雖然具有植入功能的惡意軟件不如Android應用早期那么有效，這可以解釋其近年來的衰落，但許多設備更新的補丁仍然落后于惡意軟件的發展，甚至可能容易受到Abstract Emu已經存在一年的漏洞的攻擊。

特洛伊木馬使用的root進程還使用從Magisk復制的shell腳本和二進制文件，Magisk是一種開源解決方案，以不修改系統分區且更難檢測的方式對Android手機進行root。如果root成功，shell腳本會默認安裝一個名為Settings Storage的應用程序，并在沒有用戶交互的情況下授予它侵入性權限，其中包括訪問聯系人、通話記錄、SMS消息、位置、攝像頭和麥克風。

設置存儲應用程序本身不包含惡意功能，如果用戶嘗試打開它，它將自動打開系統的正常設置應用程序。但是，惡意應用程序將從命令和控制服務器執行額外的有效負載，這些負載將利用其權限。由于網絡攻擊者采取了預防措施，Lookout公司的研究人員沒有從命令和控制服務器獲取這些額外的有效載荷，但該應用程序的行為顯然旨在使安全產品或APK代碼掃描器更難檢測其惡意性質。

研究人員說：“雖然我們無法發現Abstract Emu的目的，但我們獲得了對大規模分布式惡意軟件活動的寶貴見解，隨著Android平臺的成熟，這種活動已變得罕見。植入Android或越獄iOS設備仍然是完全破壞移動設備的最具侵入性的方式。我們需要牢記的是，無論是IT專業人士還是消費者，移動設備是犯罪分子可以利用進行網絡攻擊的完美工具，因為它們具有無數功能并擁有大量敏感數據。”