首页> 企业动态 > Android病毒或将渗透Linux内核驱动层

Android病毒或将渗透Linux内核驱动层

发布时间:2014-01-15

人民网北京信息安全厂商瑞星发布的《2013年中国信息安全报告》对2013年Android病毒进行了技术分析与与趋势探讨。报告认为,在未来,在Android系统中病毒与反病毒的战场将进一步扩展到Linux内核驱动层。

报告透露,2013年Android病毒在行为特征上仍然保持以恶意扣费和隐私窃取为主,但在自我保护技术和加密技术上有了新的突破,使得逆向分析难度加大。2013年出现的APK伪加密技术,利用了Android系统不判断是否加密处理修改APK加密标志位,使得PC端无法解压APK。Android应用代码混淆技术进一步发展,代码乱序、字符串处理使得逆向的病毒代码不易分析。甚至有些病毒使用了反逆向工具技术,利用常用工具的漏洞(apktool、dex2jar、jdGUI、IDA Pro),使其在工作中崩溃,从而无法进行下一步分析。不仅如此,病毒加固方式越来越深入系统底层,出现了Java和so注入、动态库加壳、动态加载dex和内存加载dex等方式,有些病毒直接利用厂商提供的加密服务进行加密。

安全专家认为,随着Android病毒的不断发展,未来黑客会将传统PC端病毒技术和思想移植到Android系统中,病毒与反病毒的战场将进一步扩展到Linux内核驱动层,甚至出现Android版本的Rootkit。随着Google对Android安全性的重视以及加入SELinux、ART等机制,病毒将会出现更多的攻击和感染方式。并且,病毒为了实现更好的隐藏性,所采用的混淆技术、内存加载、注入及反模拟器等手段将会越来越成熟。

相关链接:2013年五大高危Android病毒

1. “2013年最复杂”的病毒Backdoor.AndroidOS.Obad.a

该病毒通过垃圾短信操控用户设备,一旦被感染,黑客可实时控制用户设备,并可截获包括电话号码、运营商、IMEI编号、通话记录、本地时间和MAC地址等关键信息。

2. 通讯录病毒威胁手机隐私安全

2013年下半年,瑞星“云安全”系统截获一款基于安卓系统的手机病毒“RoBot通讯录”,该病毒伪装成通讯录APP引诱用户下载。用户一旦轻信,并将本地通讯录导入其中,病毒将第一时间把用户的整个通讯录发送至黑客指定地址。瑞星安全专家介绍,黑客会收集用户的联系人信息并将其转手卖给“黑中介”或垃圾广告推送者,受害用户及其亲友将收到大量垃圾短信、邮件,同时还将面临隐私信息外泄等风险。

3. 病毒仿冒照相APP 消耗流量产生巨额话费

照相APP是一类深受女性用户喜爱的应用,许多女性的手机上装有不止一款照相APP,也正因为如此,该类APP受到了黑客的重点关注。2013年7月份,瑞星“云安全”系统截获到一款仿冒国内知名照相APP的手机病毒“山寨POCO”。该病毒通过第三方APP商店及APP论坛等平台大量传播,用户一旦轻信后下载,手机会立刻中毒,并在不知不觉中被捆绑恶意推送程序,大量占用手机流量,届时手机资费将被消耗一空,甚至因欠费过高被停机。

瑞星安全专家指出,“山寨POCO”是一个典型例子,仿冒或篡改正规厂商发布的热门APP植入恶意程序,是黑客的惯用伎俩,用户在下载手机应用程序时应选择大型正规APP商店,并在下载前仔细看清图标、名称及开发商。

4. 漏洞致病毒隐身 中毒后发送诈骗短信

Android系统的版本升级问题一直是被用户诟病的顽疾,由于应用机型广泛、硬件配置庞杂,Android系统不可能像IOS一样对所有用户进行统一的升级,这也导致许多用户无法第一时间获知系统漏洞并采取防御措施。2013年8月份,瑞星“云安全”系统就拦截到一款利用Android系统的漏洞“隐身”潜入手机,用户一旦中毒,将被捆绑恶意广告推送,并泄露隐私信息。病毒会读取手机联系人信息及手机中已安装的应用信息,并发送至黑客指定地址。同时,还将定时接收黑客指令,利用用户手机为指定地址刷流量,中毒手机或面临偷跑流量至手机欠费的风险。除此之外,该病毒还会向用户手机发送恶意广告推送,并向手机联系人发送黑客编辑的短信,用户的亲朋好友将因此遭受损失。

5. “验证码大盗”全面袭击移动互联网

验证码是信息安全机制的重要一环,在线支付、密码找回等功能都需要依靠接收、填写验证码来完成。2013年年底,瑞星“云安全”系统监测到大量盗取验证码的手机病毒——“验证码大盗”。该类病毒主要在Android系统间传播,通过伪装成热门APP程序引诱网民点击下载,一旦网民将其安装至手机,将在后台检索手机短信内容,并对含有“验证码”等关键字的信息进行拦截,在第一时间把该类内容及网民手机基本信息发送给黑客。

瑞星安全专家指出,现在很多网络服务平台都允许网民使用手机号作为用户ID,该类病毒能够自动检索手机号码,因此,任何有效反馈信息都能够让黑客盗取、重置网民的账号,甚至可导致网民遭遇银行卡被大笔盗刷的风险。

相关链接:2013年Android系统三大漏洞

1. Android签名漏洞(Master Key)黑客远程遥控手机

2013年7月,Android操作系统被曝出存在严重的Master Key漏洞,并且几乎影响了99%的Android设备,甚至10月份最新发布的Android 4.4 KitKat版本也未能幸免于难。该漏洞可以使应用程序在安装时绕过程序验证和恶意代码检测,这将让恶意程序能够更加轻松地进入用户的手机和平板电脑。

瑞星安全专家介绍,Android系统是一种由Google公司和开放手机联盟领导开发的基于Linux的开源操作系统,主要用于智能手机、平板电脑等移动设备。据媒体报道,安卓系统的市场占有率已达75%,因此Master Key漏洞的危害巨大。目前官方已放出针对该漏洞的修复补丁,然而Android操作系统由于版本众多,且并无统一的应用商店,所以很多用户无法在第一时间获悉漏洞的情况,也无法对系统进行修复。

2. Webview漏洞导致手机也被挂马

2013年下半年,Android系统再度被爆出存在WebView漏洞,该漏洞可导致大量APP成为黑客传播病毒的途径。该漏洞的原理是在Android的SDK中封装了WebView控件,该控件可以和使用它的应用程序紧密结合,在页面内允许JavaScript调用Java代码。由于Java 代码可以调用系统本身的很多功能,例如:读写文件、拨打电话和发短信等,黑客通过恶意构造,甚至可以实现Root手机与安装恶意程序等行为。瑞星安全专家介绍,Android 4.2以上版本,规定了允许被调用的函数必须以JavascriptInterface进行注解,所以如果某应用依赖的API Level为17或者以上,则不会受该漏洞的影响。

3. Android手机锁屏存漏洞 手势密码轻易绕过

该漏洞影响安卓4.3以下版本,黑客通过电脑发送恶意指令,可绕过锁屏图案和密码,直接进入手机获取私密信息,进而盗取用户的通讯录、照片、短信等。(来源:人民网)

人民网北京1月14日信息安全厂商瑞星1月14日发布的《2013年中国信息安全报告》对2013年Android病毒进行了技术分析与与趋势探讨。报告认为,在未来,在Android系统中病毒与反病毒的战场将进一步扩展到Linux内核驱动层。

报告透露,2013年Android病毒在行为特征上仍然保持以恶意扣费和隐私窃取为主,但在自我保护技术和加密技术上有了新的突破,使得逆向分析难度加大。2013年出现的APK伪加密技术,利用了Android系统不判断是否加密处理修改APK加密标志位,使得PC端无法解压APK。Android应用代码混淆技术进一步发展,代码乱序、字符串处理使得逆向的病毒代码不易分析。甚至有些病毒使用了反逆向工具技术,利用常用工具的漏洞(apktool、dex2jar、jdGUI、IDA Pro),使其在工作中崩溃,从而无法进行下一步分析。不仅如此,病毒加固方式越来越深入系统底层,出现了Java和so注入、动态库加壳、动态加载dex和内存加载dex等方式,有些病毒直接利用厂商提供的加密服务进行加密。

安全专家认为,随着Android病毒的不断发展,未来黑客会将传统PC端病毒技术和思想移植到Android系统中,病毒与反病毒的战场将进一步扩展到Linux内核驱动层,甚至出现Android版本的Rootkit。随着Google对Android安全性的重视以及加入SELinux、ART等机制,病毒将会出现更多的攻击和感染方式。并且,病毒为了实现更好的隐藏性,所采用的混淆技术、内存加载、注入及反模拟器等手段将会越来越成熟。

相关链接:2013年五大高危Android病毒

1. “2013年最复杂”的病毒Backdoor.AndroidOS.Obad.a

该病毒通过垃圾短信操控用户设备,一旦被感染,黑客可实时控制用户设备,并可截获包括电话号码、运营商、IMEI编号、通话记录、本地时间和MAC地址等关键信息。

2. 通讯录病毒威胁手机隐私安全

2013年下半年,瑞星“云安全”系统截获一款基于安卓系统的手机病毒“RoBot通讯录”,该病毒伪装成通讯录APP引诱用户下载。用户一旦轻信,并将本地通讯录导入其中,病毒将第一时间把用户的整个通讯录发送至黑客指定地址。瑞星安全专家介绍,黑客会收集用户的联系人信息并将其转手卖给“黑中介”或垃圾广告推送者,受害用户及其亲友将收到大量垃圾短信、邮件,同时还将面临隐私信息外泄等风险。

3. 病毒仿冒照相APP 消耗流量产生巨额话费

照相APP是一类深受女性用户喜爱的应用,许多女性的手机上装有不止一款照相APP,也正因为如此,该类APP受到了黑客的重点关注。2013年7月份,瑞星“云安全”系统截获到一款仿冒国内知名照相APP的手机病毒“山寨POCO”。该病毒通过第三方APP商店及APP论坛等平台大量传播,用户一旦轻信后下载,手机会立刻中毒,并在不知不觉中被捆绑恶意推送程序,大量占用手机流量,届时手机资费将被消耗一空,甚至因欠费过高被停机。

瑞星安全专家指出,“山寨POCO”是一个典型例子,仿冒或篡改正规厂商发布的热门APP植入恶意程序,是黑客的惯用伎俩,用户在下载手机应用程序时应选择大型正规APP商店,并在下载前仔细看清图标、名称及开发商。

4. 漏洞致病毒隐身 中毒后发送诈骗短信

Android系统的版本升级问题一直是被用户诟病的顽疾,由于应用机型广泛、硬件配置庞杂,Android系统不可能像IOS一样对所有用户进行统一的升级,这也导致许多用户无法第一时间获知系统漏洞并采取防御措施。2013年8月份,瑞星“云安全”系统就拦截到一款利用Android系统的漏洞“隐身”潜入手机,用户一旦中毒,将被捆绑恶意广告推送,并泄露隐私信息。病毒会读取手机联系人信息及手机中已安装的应用信息,并发送至黑客指定地址。同时,还将定时接收黑客指令,利用用户手机为指定地址刷流量,中毒手机或面临偷跑流量至手机欠费的风险。除此之外,该病毒还会向用户手机发送恶意广告推送,并向手机联系人发送黑客编辑的短信,用户的亲朋好友将因此遭受损失。

5. “验证码大盗”全面袭击移动互联网

验证码是信息安全机制的重要一环,在线支付、密码找回等功能都需要依靠接收、填写验证码来完成。2013年年底,瑞星“云安全”系统监测到大量盗取验证码的手机病毒——“验证码大盗”。该类病毒主要在Android系统间传播,通过伪装成热门APP程序引诱网民点击下载,一旦网民将其安装至手机,将在后台检索手机短信内容,并对含有“验证码”等关键字的信息进行拦截,在第一时间把该类内容及网民手机基本信息发送给黑客。

瑞星安全专家指出,现在很多网络服务平台都允许网民使用手机号作为用户ID,该类病毒能够自动检索手机号码,因此,任何有效反馈信息都能够让黑客盗取、重置网民的账号,甚至可导致网民遭遇银行卡被大笔盗刷的风险。

相关链接:2013年Android系统三大漏洞

1. Android签名漏洞(Master Key)黑客远程遥控手机

2013年7月,Android操作系统被曝出存在严重的Master Key漏洞,并且几乎影响了99%的Android设备,甚至10月份最新发布的Android 4.4 KitKat版本也未能幸免于难。该漏洞可以使应用程序在安装时绕过程序验证和恶意代码检测,这将让恶意程序能够更加轻松地进入用户的手机和平板电脑。

瑞星安全专家介绍,Android系统是一种由Google公司和开放手机联盟领导开发的基于Linux的开源操作系统,主要用于智能手机、平板电脑等移动设备。据媒体报道,安卓系统的市场占有率已达75%,因此Master Key漏洞的危害巨大。目前官方已放出针对该漏洞的修复补丁,然而Android操作系统由于版本众多,且并无统一的应用商店,所以很多用户无法在第一时间获悉漏洞的情况,也无法对系统进行修复。

2. Webview漏洞导致手机也被挂马

2013年下半年,Android系统再度被爆出存在WebView漏洞,该漏洞可导致大量APP成为黑客传播病毒的途径。该漏洞的原理是在Android的SDK中封装了WebView控件,该控件可以和使用它的应用程序紧密结合,在页面内允许JavaScript调用Java代码。由于Java 代码可以调用系统本身的很多功能,例如:读写文件、拨打电话和发短信等,黑客通过恶意构造,甚至可以实现Root手机与安装恶意程序等行为。瑞星安全专家介绍,Android 4.2以上版本,规定了允许被调用的函数必须以JavascriptInterface进行注解,所以如果某应用依赖的API Level为17或者以上,则不会受该漏洞的影响。

3. Android手机锁屏存漏洞 手势密码轻易绕过

该漏洞影响安卓4.3以下版本,黑客通过电脑发送恶意指令,可绕过锁屏图案和密码,直接进入手机获取私密信息,进而盗取用户的通讯录、照片、短信等。(来源:人民网)

 

加入收藏