欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

手机预装恶意软件威胁分析

来源:本站整理 作者:佚名 时间:2019-01-07 TAG: 我要投稿

研究人员有一个大胆的想法,在你新买手机设备时的必须安装系统应用APP中,可能预装了恶意软件。然而事实证明,这并不只是一个大胆的想法,预装的手机恶意软件已经成为了未来主要威胁之一。
过去我们在Adups威胁中就遇到过预装的恶意软件(2016年11月,Adups被指向Android设备预装后门,私自收集短信和联系人等;但是删除这些预装软件可能需要ROOT权限)。预装(Pre-installed)意味着恶意软件是以SYSTEM级权限安装在设备上的,因此无法移除,只能禁用。但完全解决预装恶意软件只能通过work-around为当前用户卸载应用程序来实现。该方法包含使用ADB命令行工具将手机设备连接到PC,具体过程参见https://forums.malwarebytes.com/topic/216616-removal-instructions-for-adups/。
虽然该方法有点复杂,但是可以解决预装恶意软件的问题,但是解决新版本的预装恶意软件就变得更加困难。恶意软件作者开始对那些设备运行所必须的系统APP下手了。通过将恶意代码注入到这些必要的APP中,攻击者就重塑了整个预装恶意软件的威胁图谱。
预装的应用类型
根据APP在设备上的位置不同,可以将预装的APP分为两类。同时所在的位置也决定了APP的重要程度。
第一个位置是/system/app/。位于/system/app/的APP对设备运行来说并不是非常重要。一般照相机、蓝牙、FM广播、照片查看相关功能的程序安装在这个位置。这也是设备制造商缓存预装软件的位置。卸载这些APP可能会降低用户体验,但并不会影响设备正常运行。
另一个位置是/system/priv-app/。位于这个位置的APP就相对比较重要啦。比如系统设置、系统UI这样的APP就保存在这个位置。换句话说,无法在不影响设备使用的情况下卸载这些APP。但是最新的预装恶意软件的模板位置都是/system/priv-app/。

案例研究
案例1:System UI中的Riskware auto installer
设备型号是THL T9 Pro,固件是Android/PUP.Riskware.Autoins.Fota.INS。虽然代码与已知的预装恶意软件Adups非常相似,但这次注入在重要的系统APP System UI中了,而不是以单独的APP出现。感染后还会安装Android/Trojan.HiddenAds的变种,因此很头疼。目前还不清楚是Adups自己更新的攻击方式,还是代码被其他攻击者窃取了。

案例2:Monitor系统设置
设备型号是UTOK Q55,感染的是Android/Monitor.Pipe.Settings。Monitor是PUP(Potentially Unwanted Programs)的子集,会从用户设备中收集和报告隐私信息。但是Monitor app被硬编码在重要的设置APP中,因此卸载这些APP需要下载设置应用程序。

修复
目前还没有完美的修复方案。但研究人员提出一些指南和方法。如果有纯净版的系统APP来替换恶意版,那么可以尝试进行替换。首先要寻找与设备安卓OS版本匹配的系统APP,然后使用下面的方法:
参考Adups的移除指南:https://forums.malwarebytes.com/topic/216616-removal-instructions-for-adups/
保存要替换的系统APP的安装路径;
在PC上下载一个纯净版的系统APP;可以将下载的APP上传到VirusTotal来决定它是否纯净;
将系统APP从PC移动到手机设备上:
adb push
\ /sdcard/Download/
下载老版本的恶意系统APP:
adb shell pm uninstall -k –user 0
安装新版本的系统APP:
adb shell pm install -r –user 0 /sdcard/Download/
查看是否工作:
常见的错误情况
[INSTALL_FAILED_VERSION_DOWNGRADE]
[INSTALL_FAILED_UPDATE_INCOMPATIBLE]
[INSTALL_FAILED_OLDER_SDK]
如果新版本系统APP安装失败,可以回退到老版本的系统APP:
adb shell pm install -r –user 0
预防方法
目前应对感染最好的方法就是:不要使用存在风险的设备。研究人员测试发现以下型号的设备已经被证明会受到影响:
· THL T9 Pro
· UTOK Q55
· BLU Studio G2 HD
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载