Google Play应用被植入病毒,背后又是这个黑客组织搞的鬼

2020 年 5 月 2 日 新智元









  新智元原创  

编辑:白峰

【新智元导读】著名杀毒软件公司卡巴斯基的研究人员发现,Google Play有存在后门程序的软件,攻击程序巧妙地绕开了Google Play的审查程序,官方却拒绝透露细节。背后的黑客组织OceanLotus声名狼藉,使用的技术老套但很有效,如何才能防范此类攻击?「新智元急聘主笔、高级主任编辑,添加HR微信(Dr-wly)或扫描文末二维码了解详情。」



Google Play被戏耍,恶意程序已上架多年


著名杀毒软件公司卡巴斯基的研究人员表示,多年来,黑客们一直在使用 Google Play 散布一种非常先进的后门程序,这种后门能够窃取大量敏感数据。


卡巴斯基实验室的一位代表说,他们已经恢复了至少8个可以追溯到2018年的 Google Play 应用程序。研究人员认为来自同一个组织的恶意应用程序从2016年就开始在谷歌的官方市场上传播。

在卡巴斯基的研究人员报告了这些恶意软件后,谷歌立即删除了这些软件的最新版本。 第三方市场也托管了这些备受诟病的应用程序,其中许多仍然可以使用。

多次绕过Google Play的安全检查,官方拒绝透露细节

攻击者主要使用了两种方法绕过Google Play的审查程序。一种方法是首先提交一个无后门的应用程序,然后在该应用程序被接受后才添加后门。

另一种方法是在安装过程中不使用授权,使用过程中用隐藏在可执行文件中的代码发起动态请求。

这些应用程序提供的后门来主要用来收集被感染手机的数据,包括硬件参数、运行的 Android 版本以及已安装的应用程序列表。


基于这些信息,攻击者可以收集到手机用户的位置、通话记录、联系人、文本信息和其他敏感信息。

卡巴斯基实验室的研究人员 Alexey Firsh 和 Lev Pikman 在一篇文章中写道: 「我们对所有这些版本操作的主要理论是,攻击者试图使用不多种黑客技术绕过了谷歌的官方审查」。

谷歌拒绝透露上述恶意应用程序是如何绕过程序审查的。


大多数应用程序都要求手机root的功能,所以不要随便root你的手机了!

这些应用程序的巧妙之处在于,当用户可以访问 root 权限时,恶意软件会对一个名为“ setUidMode”的无证编程接口进行反射调用,以获得权限,而无需用户参与。由卡巴斯基实验室识别的应用程序包括:


神秘黑客组织浮出水面,技术虽老但很有效


卡巴斯基的研究人员将该黑客组织的攻击称为「幻想运动」,他们确信这一系列长达数年的攻击是 OceanLotus 所为。该组织主要攻击亚洲各国政府、持不同政见者和记者。

OceanLotus小组也称为APT32和APT-C-00,以针对亚洲东部地区的黑客行为而声名狼藉。该小组不断更新其后门软件和基础架构,擅长使用多种技巧诱导用户执行后门程序,以减慢其分析速度从而避免被检测到。


该组织的惯用后门程序主要分为两部分:dropper和backdoor launcher。


我们拿一个典型的攻击流程来看一下是被攻击者是如何中招的,dropper伪装成常规字体的TrueType字体更新程序。
dropper

当执行时,二进制文件解密其资源(使用128字节的硬编码密钥进行XOR)并解压缩解密的数据(LZMA)。合法的RobotoSlab-Regular.ttf文件被写入%temp%文件夹并通过Win32 API函数ShellExecute运行。

从资源解密的shellcode被执行后,伪字体更新程序将删除另一个应用程序,也就是释放了「脏弹」之后再把自己删掉。

Shellcode

Shellcode检索三个Windows API函数:VirtualAlloc,RtlMoveMemory和RtlZeroMemory。

Real Dropper

该可执行文件通过Windows API使用具有CBC模式的AES算法解密其资源,然后就得到了合法的可执行程序rastlsc.exe。

backdoor launcher


rastlsc.exe通过在同一文件夹内写入恶意库rastlsc.dll来利用合法且经过签名的可执行文件的库加载后门程序,这样它看起来就合法了,因为这些操作是由受信任的可执行进程执行的。

作为普通用户,我们要时刻提高警惕,不打开来源不明的软件,及时更新系统补丁和杀毒软件,尽量避免遭受此类攻击。


登录查看更多
0

相关内容

Google Play(前 Android Market) 是一个由谷歌公司为 Android 系统用户创建的服务,允许安装了 Android 系统的手机和平板电脑用户从 Android Market 浏览和下载一些应用程序。用户可以购买或免费试用这些应用程序。
【ACL2020-Google】逆向工程配置的神经文本生成模型
专知会员服务
16+阅读 · 2020年4月20日
【Google】利用AUTOML实现加速感知神经网络设计
专知会员服务
29+阅读 · 2020年3月5日
广东疾控中心《新型冠状病毒感染防护》,65页pdf
专知会员服务
18+阅读 · 2020年1月26日
斯坦福&谷歌Jeff Dean最新Nature论文:医疗深度学习技术指南
Google代码Code Review实践指南发布
Python程序员
3+阅读 · 2019年9月7日
7 款实用到哭的App,只说一遍
高效率工具搜罗
84+阅读 · 2019年4月30日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
Android P正式发布,你需要尽快做适配了
前端之巅
3+阅读 · 2018年8月7日
苹果首次披露Siri声纹识别技术
AI前线
6+阅读 · 2018年4月17日
Google 开源机器学习算法;2018 年 SO 数据库调查
技术最前线
4+阅读 · 2018年3月14日
抖音的 2017 和它背后的黑科技
PingWest品玩
8+阅读 · 2018年1月4日
Learning to See Through Obstructions
Arxiv
7+阅读 · 2020年4月2日
Self-Driving Cars: A Survey
Arxiv
41+阅读 · 2019年1月14日
Arxiv
12+阅读 · 2018年9月5日
Arxiv
3+阅读 · 2018年3月22日
Arxiv
25+阅读 · 2018年1月24日
VIP会员
相关资讯
Google代码Code Review实践指南发布
Python程序员
3+阅读 · 2019年9月7日
7 款实用到哭的App,只说一遍
高效率工具搜罗
84+阅读 · 2019年4月30日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
Android P正式发布,你需要尽快做适配了
前端之巅
3+阅读 · 2018年8月7日
苹果首次披露Siri声纹识别技术
AI前线
6+阅读 · 2018年4月17日
Google 开源机器学习算法;2018 年 SO 数据库调查
技术最前线
4+阅读 · 2018年3月14日
抖音的 2017 和它背后的黑科技
PingWest品玩
8+阅读 · 2018年1月4日
相关论文
Learning to See Through Obstructions
Arxiv
7+阅读 · 2020年4月2日
Self-Driving Cars: A Survey
Arxiv
41+阅读 · 2019年1月14日
Arxiv
12+阅读 · 2018年9月5日
Arxiv
3+阅读 · 2018年3月22日
Arxiv
25+阅读 · 2018年1月24日
Top
微信扫码咨询专知VIP会员