信息來源:Freebuf
Google采取多種措施保護其應用商店并阻止惡意軟件進入��,但黑客仍在尋找滲透應用商店和訪問用戶設(shè)備的方法��。數(shù)百萬手機用戶無意間下載了惡意應用程序��,這些應用程序可以訪問用戶數(shù)據(jù)��,憑據(jù)��,電子郵件��,文本消息和地理位置��。例如��,在2020年2月��,Haken惡意軟件家族通過8種不同的惡意應用安裝在50,000多臺Android設(shè)備中��。
近期Check Point的研究人員發(fā)現(xiàn)了一個新的惡意軟件家族“Tekya”��,該家族可在56個應用程序中運行��,已在全球范圍內(nèi)下載了近100萬次��。惡意軟件模仿用戶的操作��,點擊來自Google AdMob��,AppLovin��,F(xiàn)acebook和Unity等機構(gòu)的廣告和橫幅��。惡意應用程序中有二十四款針對兒童(從拼圖到賽車游戲)��,其余為實用程序(例如烹飪應用程序��,計算器��,下載器��,翻譯器等)��。
綜述
Tekya惡意軟件進行了代碼混淆��,避免被Google Play Protect檢測��,并利用Android中的“ MotionEvent”機制(于2019年推出)來模仿用戶的操作點擊��。VirusTotal和Google Play Protect未檢測到Tekya惡意軟件家族��,可從Google Play下載相關(guān)的56個應用程序��。
惡意軟件克隆了合法應用程序來吸引用戶��,其中大多數(shù)是兒童,因為Tekya惡意軟件大多數(shù)是兒童游戲��,目前這些應用程序已全部從Google Play中刪除��。但是��,這再次凸顯了Google Play商店仍然可以托管惡意應用��。商店提供了將近300萬個應用程序��,每天有數(shù)百個新應用程序上傳��,很難檢查每個應用程序是否安全��。用戶不能僅依靠Google Play的安全措施來確保下載軟件的安全性��。
下面為惡意應用程序示例��,全部惡意軟件列表見附錄:
技術(shù)分析
從Google Play安裝此應用程序后��,將執(zhí)行以下多項操作:
“BOOT_COMPLETED”允許設(shè)備啟動時運行代碼
“USER_PRESENT”檢測用戶何時正在使用設(shè)備
“QUICKBOOT_POWERON”允許設(shè)備重啟后運行代碼
接收器在.apk文件中的libraries文件夾加載本地“ libtekya.so”文件��。
在“ Tekya”庫的構(gòu)造函數(shù)中��,創(chuàng)建“ Validator”對象列表��。
在每個“ Validator”中都會有調(diào)用方法運行來自本地庫“ libtekya.so”的內(nèi)部函數(shù)��?�!?AdmobValidator”調(diào)用c函數(shù)��,然后運行z函數(shù)��,該函數(shù)又從本機庫中調(diào)用“ zzdtxq”函數(shù)��。
在“ libtekya.so”庫中��,Validator調(diào)用的函數(shù)負責多種操作:
“ffnrsv”負責解析配置文件
“getWindow”和“getDecorView”獲取所需的句柄
“ sub_AB2C”負責處理上述功能的結(jié)果
最后“ sub_AB2C”創(chuàng)建并調(diào)度觸摸事件��,通過“ MotionEvent”模仿點擊:
VirusTotal對惡意軟件測試結(jié)果:
如何防護
如果懷疑自己的設(shè)備上裝有這些惡意應用程序之一��,請執(zhí)行以下操作:
從設(shè)備上卸載惡意應用程序
安裝安全解決方案以防止感染
將操作系統(tǒng)和應用程序更新到最新版本
附錄
