“GODLESS”Android设备手机恶意软件利用分析

我们遇到了一个家庭的移动恶意软件称为GODLESS(检测为androidos_godless。HRX)。由于有多个漏洞来使用,不可以针对几乎任何Android设备上运行Android 5.1或更早(Lollipop)。在本文的写作过程中,几乎90%的Android设备上运行受影响的版本。根据我们的趋势科技移动应用程序信誉服务收集的数据,恶意的应用程序这种威胁可以在突出的应用商店,包括谷歌的发挥,影响了超过850000的全球范围内的设备。

图1。受影响的设备的全球分布

 

无神论是一个开发工具包的回忆,因为它使用一个开源框架,称为Android支持工具。该框架已经在阿森纳的各种漏洞,可以根不同的基于Android的设备。最突出的两个漏洞被这盒cve-2015-3636 (由pingpongroot开发使用)和CVE-2014-3153(由Towelroot开发使用)。 剩余的漏洞被废弃,甚至在安全社区相对未知。

此外,用root权限,恶意软件就可以接受远程指令的应用程序下载并安装在移动设备上默默地。这将导致受影响的用户接收不需要的应用程序,这可能导致不必要的广告,更糟糕的是,这些威胁也可以用来对用户安装后门和间谍。

生根从本地到远程

我们已经看到了这个家庭的演变。在早期的邪恶版本,恶意的应用程序包含一个地方利用二进制称为libgodlikelib.so,以利用代码从Android生根工具。


图2。Android的漏洞发现libgodlike.so生根工具

一旦用户下载这些恶意软件,恶意软件等受影响的设备的屏幕关闭其生根前常规进行。

图3。利用启动屏幕关闭

在成功地根设备,然后降低有效载荷作为一个系统的应用程序,不能轻易被删除。有效载荷是一个AES加密的文件称为__image。

图4。常规有效载荷下降

最近,我们遇到一个新的邪恶变种,是只取一个远程命令和控制的有效利用(C & C)服务器,hxxp://market[.]moboplay[.]com/softs[.]ashx.。我们相信,这是例行的做这样的恶意软件可以绕过安全检查的应用程序商店,如谷歌游戏。

图5。下载的C&C服务器开发

我们发现在谷歌播放,包含该恶意代码的各种应用程序。 恶意应用程序我们看到,这种新的远程常规范围从像手电筒和Wi-Fi的应用程序的实用程序,对流行的游戏副本。例如,一个恶意  手电筒的应用程序在谷歌播放“夏天手电筒”含有恶意亵渎的代码:

图6。恶意软件样本

我们也看到了大量干净的应用程序在谷歌播放,有相应的恶意版本在野外它们共享相同的开发者证书。在谷歌播放的版本有恶意代码。 因此,有潜在的风险与非恶意的应用程序的用户将升级到恶意版本没有他们了解应用程序的新的恶意行为。值得注意的是,更新的应用程序在谷歌Play之外是违反商店条款和条件。

图7。从同一作者的清洁和恶意版本

有效载荷

早些时候无神的变种滴实现独立的谷歌游戏客户端系统的应用。这个有效载荷的影响,谷歌窃取凭据下载并安装应用程序从该应用程序商店。用户将收到不必要的应用程序的负载提升”。该程序的另一个目的是骗取某些应用程序谷歌Play排名提高。

作为最新变种(远程获取有效载荷),目前,攻击安装了root访问权限,对受影响的设备上安装应用程序的后门悄悄地。

最佳实践

有生根一移动设备绝对没有错。它可以在自动化,几个好处的性能,基本上得到最大的一个装置。但是当一个恶意软件的根没有一一的知识的手机,这就是有趣的停止。

当下载应用程序,不管它是一个实用工具或一个流行的游戏,用户应该审查开发商的。很少或没有背景信息未知的开发商可能是这些恶意软件的来源。作为一般规则,它始终是最好的值得信赖的商店如谷歌播放和亚马逊下载应用程序。

用户也应该有安全的移动安全,可以减轻移动恶意软件。