Google Play应用被植入病毒，背后又是这个黑客组织搞的鬼

---

  新智元原创  

编辑：白峰

【新智元导读】著名杀毒软件公司卡巴斯基的研究人员发现，Google Play有存在后门程序的软件，攻击程序巧妙地绕开了Google Play的审查程序，官方却拒绝透露细节。背后的黑客组织OceanLotus声名狼藉，使用的技术老套但很有效，如何才能防范此类攻击？「新智元急聘主笔、高级主任编辑，添加HR微信（Dr-wly）或扫描文末二维码了解详情。」

Google Play被戏耍，恶意程序已上架多年

著名杀毒软件公司卡巴斯基的研究人员表示，多年来，黑客们一直在使用 Google Play 散布一种非常先进的后门程序，这种后门能够窃取大量敏感数据。

卡巴斯基实验室的一位代表说，他们已经恢复了至少8个可以追溯到2018年的 Google Play 应用程序。研究人员认为来自同一个组织的恶意应用程序从2016年就开始在谷歌的官方市场上传播。

在卡巴斯基的研究人员报告了这些恶意软件后，谷歌立即删除了这些软件的最新版本。 第三方市场也托管了这些备受诟病的应用程序，其中许多仍然可以使用。

多次绕过Google Play的安全检查，官方拒绝透露细节

攻击者主要使用了两种方法绕过Google Play的审查程序。一种方法是首先提交一个无后门的应用程序，然后在该应用程序被接受后才添加后门。

另一种方法是在安装过程中不使用授权，使用过程中用隐藏在可执行文件中的代码发起动态请求。

这些应用程序提供的后门来主要用来收集被感染手机的数据，包括硬件参数、运行的 Android 版本以及已安装的应用程序列表。

基于这些信息，攻击者可以收集到手机用户的位置、通话记录、联系人、文本信息和其他敏感信息。

卡巴斯基实验室的研究人员 Alexey Firsh 和 Lev Pikman 在一篇文章中写道: 「我们对所有这些版本操作的主要理论是，攻击者试图使用不多种黑客技术绕过了谷歌的官方审查」。

谷歌拒绝透露上述恶意应用程序是如何绕过程序审查的。

大多数应用程序都要求手机root的功能，所以不要随便root你的手机了！

这些应用程序的巧妙之处在于，当用户可以访问 root 权限时，恶意软件会对一个名为“ setUidMode”的无证编程接口进行反射调用，以获得权限，而无需用户参与。由卡巴斯基实验室识别的应用程序包括:

神秘黑客组织浮出水面，技术虽老但很有效

卡巴斯基的研究人员将该黑客组织的攻击称为「幻想运动」，他们确信这一系列长达数年的攻击是 OceanLotus 所为。该组织主要攻击亚洲各国政府、持不同政见者和记者。

OceanLotus小组也称为APT32和APT-C-00，以针对亚洲东部地区的黑客行为而声名狼藉。该小组不断更新其后门软件和基础架构，擅长使用多种技巧诱导用户执行后门程序，以减慢其分析速度从而避免被检测到。

该组织的惯用后门程序主要分为两部分：dropper和backdoor launcher。

我们拿一个典型的攻击流程来看一下是被攻击者是如何中招的，dropper伪装成常规字体的TrueType字体更新程序。

dropper

当执行时，二进制文件解密其资源（使用128字节的硬编码密钥进行XOR）并解压缩解密的数据（LZMA）。合法的RobotoSlab-Regular.ttf文件被写入％temp％文件夹并通过Win32 API函数ShellExecute运行。

从资源解密的shellcode被执行后，伪字体更新程序将删除另一个应用程序，也就是释放了「脏弹」之后再把自己删掉。

Shellcode

Shellcode检索三个Windows API函数：VirtualAlloc，RtlMoveMemory和RtlZeroMemory。

Real Dropper

该可执行文件通过Windows API使用具有CBC模式的AES算法解密其资源，然后就得到了合法的可执行程序rastlsc.exe。

backdoor launcher

rastlsc.exe通过在同一文件夹内写入恶意库rastlsc.dll来利用合法且经过签名的可执行文件的库加载后门程序，这样它看起来就合法了，因为这些操作是由受信任的可执行进程执行的。

作为普通用户，我们要时刻提高警惕，不打开来源不明的软件，及时更新系统补丁和杀毒软件，尽量避免遭受此类攻击。