死靈木馬
2019 年,網路安全研究人員發現了一個令人不安的問題:Google Play 商店中的一款合法 Android 應用程式遭到了開發者用來產生廣告收入的第三方函式庫的破壞。此修改導致 1 億台裝置連接到攻擊者控制的伺服器,然後攻擊者部署了隱藏的有效負載。
如今,類似的情況再次出現。資訊安全專家發現兩個新應用程式從 Google Play 下載了 1100 萬次,它們受到相同惡意軟體系列的感染。看來,用於整合廣告功能的不安全軟體開發工具包再次成為罪魁禍首。
目錄
什麼是SDK?
軟體開發套件或 SDK 為開發人員提供了預先建置的框架,可透過處理日常任務來簡化和加速應用程式建立流程。在這種情況下,一個未經驗證的SDK模組似乎被設計用來支援廣告顯示,被整合到應用程式中。然而,在表面之下,它啟用了與受感染伺服器秘密通訊的高級方法。這使得應用程式能夠上傳用戶資料並下載有害程式碼,這些程式碼可以隨時執行或更新。
Necro 木馬如何感染設備?
這兩個活動背後的惡意軟體家族被稱為 Necro,在這種情況下,一些變體採用了隱寫術等先進技術,這是行動威脅中罕見的混淆方法。某些變體還使用複雜的方法來提供能夠以提升的系統權限運行的詐騙程式碼。一旦設備被感染,它就會與攻擊者控制的命令和控制伺服器進行通訊。它發送加密的 JSON 數據,報告有關受感染設備和託管詐欺模組的應用程式的詳細資訊。
然後,伺服器使用 JSON 訊息進行回應,其中包含 PNG 映像的連結以及包含圖像雜湊的元資料。如果受感染設備上的模組驗證了雜湊值,它將繼續下載映像。
研究人員解釋說,該 SDK 模組使用了簡單的隱寫演算法。通過 MD5 檢查後,它會使用標準 Android 工具提取 PNG 檔案的內容,特別是來自 ARGB 通道的像素值。 getPixel 方法會擷取一個值,其中最低有效位元組包含影像的藍色通道,惡意軟體從那裡開始處理。
Necro 特洛伊木馬可能會導致嚴重後果
惡意軟體安裝的後續有效負載會下載詐騙插件,這些插件可以為每個受感染的裝置進行客製化以執行各種操作。此類插件之一允許以提升的系統權限執行程式碼。通常,Android 會限制特權程序使用 WebView(用於在應用程式中顯示網頁的元件)。為了克服這一限制,Necro 採用了一種稱為反射攻擊的技術來創建單獨的 WebView 工廠。
此外,該外掛程式還可以下載並執行其他檔案來修改透過 WebView 顯示的連結。透過提升系統權限,這些執行檔可以更改 URL 以插入付費訂閱的確認程式碼,並從攻擊者控制的連結下載和執行程式碼。研究人員在對 Necro 進行分析時發現了五種不同的有效載荷。此外,Necro的模組化結構為惡意軟體提供了多種操作方式。
Necro 木馬在兩個應用程式中被發現
研究人員在 Google Play 上的兩個應用程式中發現了 Necro。其中一款名為「無他相機」的下載量已突破 1,000 萬次。 Wuta Camera 6.3.2.148 至 6.3.6.148 版本包含導致感染的惡意 SDK,但該應用程式已更新以消除有害元件。另一個應用程式 Max Browser 的下載量約為 100 萬次,也受到了損害;但是,它不再在 Google Play 上提供。
此外,研究人員發現 Necro 感染了其他市場上提供的一系列 Android 應用程式。這些應用程式通常以合法應用程式的修改版本形式呈現,包括 Spotify、Minecraft、WhatsApp、Stumble Guys、Car Parking Multiplayer 和 Melon Sandbox。
