编辑:白峰
【新智元导读】著名杀毒软件公司卡巴斯基的研究人员发现,Google Play有存在后门程序的软件,攻击程序巧妙地绕开了Google Play的审查程序,官方却拒绝透露细节。背后的黑客组织OceanLotus声名狼藉,使用的技术老套但很有效,如何才能防范此类攻击?「新智元急聘主笔、高级主任编辑,添加HR微信(Dr-wly)或扫描文末二维码了解详情。」
著名杀毒软件公司卡巴斯基的研究人员表示,多年来,黑客们一直在使用 Google Play 散布一种非常先进的后门程序,这种后门能够窃取大量敏感数据。
卡巴斯基实验室的一位代表说,他们已经恢复了至少8个可以追溯到2018年的 Google Play 应用程序。研究人员认为来自同一个组织的恶意应用程序从2016年就开始在谷歌的官方市场上传播。
在卡巴斯基的研究人员报告了这些恶意软件后,谷歌立即删除了这些软件的最新版本。 第三方市场也托管了这些备受诟病的应用程序,其中许多仍然可以使用。
多次绕过Google Play的安全检查,官方拒绝透露细节
攻击者主要使用了两种方法绕过Google Play的审查程序。一种方法是首先提交一个无后门的应用程序,然后在该应用程序被接受后才添加后门。
另一种方法是在安装过程中不使用授权,使用过程中用隐藏在可执行文件中的代码发起动态请求。
这些应用程序提供的后门来主要用来收集被感染手机的数据,包括硬件参数、运行的 Android 版本以及已安装的应用程序列表。
基于这些信息,攻击者可以收集到手机用户的位置、通话记录、联系人、文本信息和其他敏感信息。
卡巴斯基实验室的研究人员 Alexey Firsh 和 Lev Pikman 在一篇文章中写道: 「我们对所有这些版本操作的主要理论是,攻击者试图使用不多种黑客技术绕过了谷歌的官方审查」。
谷歌拒绝透露上述恶意应用程序是如何绕过程序审查的。
大多数应用程序都要求手机root的功能,所以不要随便root你的手机了!
这些应用程序的巧妙之处在于,当用户可以访问 root 权限时,恶意软件会对一个名为“ setUidMode”的无证编程接口进行反射调用,以获得权限,而无需用户参与。由卡巴斯基实验室识别的应用程序包括:
卡巴斯基的研究人员将该黑客组织的攻击称为「幻想运动」,他们确信这一系列长达数年的攻击是 OceanLotus 所为。该组织主要攻击亚洲各国政府、持不同政见者和记者。
OceanLotus小组也称为APT32和APT-C-00,以针对亚洲东部地区的黑客行为而声名狼藉。该小组不断更新其后门软件和基础架构,擅长使用多种技巧诱导用户执行后门程序,以减慢其分析速度从而避免被检测到。
该组织的惯用后门程序主要分为两部分:dropper和backdoor launcher。
我们拿一个典型的攻击流程来看一下是被攻击者是如何中招的,dropper伪装成常规字体的TrueType字体更新程序。
当执行时,二进制文件解密其资源(使用128字节的硬编码密钥进行XOR)并解压缩解密的数据(LZMA)。合法的RobotoSlab-Regular.ttf文件被写入%temp%文件夹并通过Win32 API函数ShellExecute运行。
从资源解密的shellcode被执行后,伪字体更新程序将删除另一个应用程序,也就是释放了「脏弹」之后再把自己删掉。
Shellcode检索三个Windows API函数:VirtualAlloc,RtlMoveMemory和RtlZeroMemory。
该可执行文件通过Windows API使用具有CBC模式的AES算法解密其资源,然后就得到了合法的可执行程序rastlsc.exe。
backdoor launcher
rastlsc.exe通过在同一文件夹内写入恶意库rastlsc.dll来利用合法且经过签名的可执行文件的库加载后门程序,这样它看起来就合法了,因为这些操作是由受信任的可执行进程执行的。
作为普通用户,我们要时刻提高警惕,不打开来源不明的软件,及时更新系统补丁和杀毒软件,尽量避免遭受此类攻击。