Android安全:GingerMaster--第一个在Android2.3上利用root权限攻击的恶意软件20110818
2011-09-29 11:05
661 查看
原文来自:http://www.csc.ncsu.edu/faculty/jiang/GingerMaster/
昨天(2011.8.17),我们看到在过去两个月中DroidKungFu的快速进化演变。今天,在同网秦合作时,我们的研究团队发现了一个新的高危恶意软件--GingerMaster。它是第一个在Android2.3(即Gingerbread)上利用root权限攻击的病毒。与之前一些可以在Android2.2或更低版本上运行的利用root权限攻击的恶意软件(例如DroidKungFu)不同的是,GingerMaster利用最近的root权限攻击方法(在2011.4发现的)攻击Android2.3平台。由于是第一次发现此类的恶意软件,当我们的实验结果显示出它能够成功地避开所用手机防病毒软件的检测时,我们也不为惊讶。
Phoning Home
GingerMaster病毒被重新植入合法的应用程序中。这些合法的应用程序是那些很流行的、可以吸引用户去下载安装的。(下图所示的是一个显示模特照片的应用程序截屏。)在重新植入的应用程序中,它会注册一个接收器,当系统启动后它会被告知。在接收器中,它会在后台默默地开启一个服务。后台服务会相应地收集许多信息,比如设备id,手机号码还有其他一些信息(通过读取/proc/cpuinfo),然后将这些信息上传到远程服务器中。
发动攻击
先前提到过,GingerMaster病毒中包含有GingerBreak root权限攻击。实际的攻击代码是以一个名为gbfm.png的正规文件打包到受感染的应用程序中。gbfm也许是“Ginger Break For Me”的缩写,而png 后缀名是想让它不容易被察觉出来。一旦在Android2.3上发起了攻击,它的权限就会被提升到root权限。之后,GingerMaster会在系统分区里安装一个root shell(文件模式4755)备将来使用。
Dropping more malware
获得root权限之后,GingerMaster会与远程C&C通信等待指示。根据我们的调查研究,GingerMaster病毒中存在在用户不知情的情况下,下载并安装其他应用程序的有效负载。更确切地说,它可以从远程服务器下载apk文件,然后在root shell执行 “pm install “命令安装apk。
缓解措施
Due to the fact that GingerMaster contains the most recent root exploit, we consider it poses one of the most serious threats to mobile users. For mitigation, please follow common-sense guidelines for smartphone security. For example,
download apps from reputable app stores that you trust; and always check reviews, ratings as well as developer information before downloading;
check the permissions on apps before you actually install them and make sure you are comfortable with the data they will be accessing;
be alert for unusual behavior on the part of mobile phones and make sure you have up-to-date security software installed on your phone.
[2] Google: Device Distribution in terms of Platform Versions
昨天(2011.8.17),我们看到在过去两个月中DroidKungFu的快速进化演变。今天,在同网秦合作时,我们的研究团队发现了一个新的高危恶意软件--GingerMaster。它是第一个在Android2.3(即Gingerbread)上利用root权限攻击的病毒。与之前一些可以在Android2.2或更低版本上运行的利用root权限攻击的恶意软件(例如DroidKungFu)不同的是,GingerMaster利用最近的root权限攻击方法(在2011.4发现的)攻击Android2.3平台。由于是第一次发现此类的恶意软件,当我们的实验结果显示出它能够成功地避开所用手机防病毒软件的检测时,我们也不为惊讶。
Phoning Home
GingerMaster病毒被重新植入合法的应用程序中。这些合法的应用程序是那些很流行的、可以吸引用户去下载安装的。(下图所示的是一个显示模特照片的应用程序截屏。)在重新植入的应用程序中,它会注册一个接收器,当系统启动后它会被告知。在接收器中,它会在后台默默地开启一个服务。后台服务会相应地收集许多信息,比如设备id,手机号码还有其他一些信息(通过读取/proc/cpuinfo),然后将这些信息上传到远程服务器中。
发动攻击
先前提到过,GingerMaster病毒中包含有GingerBreak root权限攻击。实际的攻击代码是以一个名为gbfm.png的正规文件打包到受感染的应用程序中。gbfm也许是“Ginger Break For Me”的缩写,而png 后缀名是想让它不容易被察觉出来。一旦在Android2.3上发起了攻击,它的权限就会被提升到root权限。之后,GingerMaster会在系统分区里安装一个root shell(文件模式4755)备将来使用。
Dropping more malware
获得root权限之后,GingerMaster会与远程C&C通信等待指示。根据我们的调查研究,GingerMaster病毒中存在在用户不知情的情况下,下载并安装其他应用程序的有效负载。更确切地说,它可以从远程服务器下载apk文件,然后在root shell执行 “pm install “命令安装apk。
缓解措施
Due to the fact that GingerMaster contains the most recent root exploit, we consider it poses one of the most serious threats to mobile users. For mitigation, please follow common-sense guidelines for smartphone security. For example,
download apps from reputable app stores that you trust; and always check reviews, ratings as well as developer information before downloading;
check the permissions on apps before you actually install them and make sure you are comfortable with the data they will be accessing;
be alert for unusual behavior on the part of mobile phones and make sure you have up-to-date security software installed on your phone.
Follow-ups:
8/18/2011: We detected the first GingerMaster malware.Related links:
[1] C SKILLS: yummy yummy, GingerBreak![2] Google: Device Distribution in terms of Platform Versions
相关文章推荐
- 【每日安全资讯】程序员利用恶意软件攻击Mac与PC:时间长达13年
- Android 2.3 仍是恶意软件的首选攻击目标
- 【每日安全资讯】恶意软件攻击沙特阿拉伯石油工厂试图引发爆炸
- 【android逆向笔记】(五)android软件安全与逆向第一个实例
- (5/8 软件漏洞攻击利用技术)如何成为一名黑客(网络安全从业者)——网络攻击技术篇
- Android虚拟补丁能否阻挡Android恶意软件攻击
- 移动设备恶意软件应用泛滥 Android成攻击首选
- 游戏安全资讯精选 2018年第八期:3975款游戏被查处,游戏圈重击;Memcached被利用UDP反射攻击漏洞预警;VentureBeat称区块链或可定位和消除恶意可执行代码的安全问题
- Android恶意软件遍布 Google Play很安全
- 黑客利用恶意软件窃取用户数据,通过代码签名证书加强安全防护
- 程序员利用恶意软件攻击数万台 Mac、PC,窃取用户隐私长达 13 年
- 利用FRIDA攻击Android应用程序(二)
- iOS是最安全的?苹果iOS恶意软件数量增速首次超过Android
- iOS是最安全的?苹果iOS恶意软件数量增速首次超过Android
- android 利用superuser编写使用root权限的app
- Android软件安全与逆向分析入门-贰-熟悉Dalvik字节码
- 利用license机制来保护Java软件产品的安全
- Android软件安全 攻防研究现状
- 【每日安全资讯】卡巴斯基实验室指网络犯罪分子通过恶意挖矿软件在2017年获利数百万美元
- 29万 个Android恶意软件,Windows花了十四年才达到这个数量!