Android安全：GingerMaster--第一个在Android2.3上利用root权限攻击的恶意软件20110818

原文来自：http://www.csc.ncsu.edu/faculty/jiang/GingerMaster/

昨天（2011.8.17），我们看到在过去两个月中DroidKungFu的快速进化演变。今天，在同网秦合作时，我们的研究团队发现了一个新的高危恶意软件--GingerMaster。它是第一个在Android2.3（即Gingerbread）上利用root权限攻击的病毒。与之前一些可以在Android2.2或更低版本上运行的利用root权限攻击的恶意软件（例如DroidKungFu）不同的是，GingerMaster利用最近的root权限攻击方法（在2011.4发现的）攻击Android2.3平台。由于是第一次发现此类的恶意软件，当我们的实验结果显示出它能够成功地避开所用手机防病毒软件的检测时，我们也不为惊讶。

Phoning Home

GingerMaster病毒被重新植入合法的应用程序中。这些合法的应用程序是那些很流行的、可以吸引用户去下载安装的。（下图所示的是一个显示模特照片的应用程序截屏。）在重新植入的应用程序中，它会注册一个接收器，当系统启动后它会被告知。在接收器中，它会在后台默默地开启一个服务。后台服务会相应地收集许多信息，比如设备id，手机号码还有其他一些信息（通过读取/proc/cpuinfo），然后将这些信息上传到远程服务器中。





发动攻击

先前提到过，GingerMaster病毒中包含有GingerBreak root权限攻击。实际的攻击代码是以一个名为gbfm.png的正规文件打包到受感染的应用程序中。gbfm也许是“Ginger Break For Me”的缩写，而png 后缀名是想让它不容易被察觉出来。一旦在Android2.3上发起了攻击，它的权限就会被提升到root权限。之后，GingerMaster会在系统分区里安装一个root shell（文件模式4755）备将来使用。



Dropping more malware

获得root权限之后，GingerMaster会与远程C&C通信等待指示。根据我们的调查研究，GingerMaster病毒中存在在用户不知情的情况下，下载并安装其他应用程序的有效负载。更确切地说，它可以从远程服务器下载apk文件，然后在root shell执行 “pm install “命令安装apk。



缓解措施

Due to the fact that GingerMaster contains the most recent root exploit, we consider it poses one of the most serious threats to mobile users. For mitigation, please follow common-sense guidelines for smartphone security. For example,

download apps from reputable app stores that you trust; and always check reviews, ratings as well as developer information before downloading;

check the permissions on apps before you actually install them and make sure you are comfortable with the data they will be accessing;

be alert for unusual behavior on the part of mobile phones and make sure you have up-to-date security software installed on your phone.

Follow-ups:

8/18/2011: We detected the first GingerMaster malware.

Related links:

[1] C SKILLS: yummy yummy, GingerBreak!

[2] Google: Device Distribution in terms of Platform Versions