超级木马看一眼就中招,半数 Android 手机身处险境

    

  对于一个手机木马来说,这是最好的时代,也是最坏的时代。

  • 说是最好的时代,因为绝大多数人都拥有至少一部手机,它们都是木马的猎物。
  • 说是最坏的时代,因为手机系统的安全系数正在以指数级的速度增长。如今木马想要搞定一部手机,要付出的艰辛一点儿都不亚于历史上真实木马中的希腊战士攻陷特洛伊。

危险的三道门

迫于“技术限制”,大多数木马不可能为所欲为。在“敲诈木马界”,一个通用的套路就是“打开三道门”:

第一道门:黑客利用各种渠道发送钓鱼链接给受害者,受害者在诱骗之下点击了链接,从而下载了恶意 App。

第二道门:随后这个恶意 App 会请求用户安装,用户需要同意。

第三道门:在安装的过程中,它还会向用户请求诸多权限,而粗心的用户可能会不假思索地授权。

得到授权之后的恶意 App 可谓如虎添翼,凶相毕露。它会锁住用户的手机,然后向受害者索要比特币赎金。

可以看到,这样的敲诈木马想要最终成功,大概需要和用户进行三次互动。而每一次互动都非常可能让受害者警觉。所以就实际情况而言,这种敲诈的成功率比你想象得要低。

【手机敲诈软件的勒索信/图片来自腾讯电脑管家】

漏洞,黑客的解药

如果一个敲诈木马需要和用户互动三次,这大概就像一个小偷去偷东西还要按门铃。作为一个“有理想”的敲诈木马,它的目标就是干掉和用户的这三次互动,采用“溜门撬锁”的方法进入核心地带。

从木马的角度来看,此时漏洞就是它的解药。Android 系统可能存在各个层面的漏洞,然而绝大多数漏洞的目的都集中在两个点上:“代码执行”和“提权”。

  • 如果想让用户在不知不觉中下载恶意木马,需要依靠“代码执行”漏洞,这就打开了上述的第一道门。
  • 如果想实现后台静默安装和取得权限,则需要“提权”漏洞,这就打开了上述的第二和第三道门。

事实上,打开这三道门远不如说起来这么简单。首先,这个“代码执行漏洞”必须是质量非常高的“远程代码执行漏洞”。顾名思义,必须由远端的服务器下发指令,实现本地手机上的代码执行。其次,“提权漏洞”必须把敲诈木马的权限提升到 Root 级别,才能实现全程静默安装。

这样的漏洞如同高精尖的武器,昂贵而难以获得。就算是黑客手上拥有这样的高质量漏洞,它的使用窗口也是有限的。因为 Android 的亲爹谷歌并不是吃素的。为了对抗层出不穷的木马,谷歌每月都会为安卓系统发布官方更新补丁,封堵黑客们辛苦挖掘出来的漏洞。

然而,有一个悲伤的事实:对于天朝的童鞋来说,出于你懂的和不懂的原因,使用谷歌原生系统的人如凤毛麟角。大多数人会使用手机厂商深度定制的系统,例如 MIUI、Flyme、Smartisan OS,它们的升级频率和原生 Android 的步调是脱钩的。

其实,在世界范围内,这个问题也是相当严重。截止到2016年2月1日,Android 的最新版本 6.0 的普及率才刚刚超过1%,而 4.4 版本的安装率仍然高居35.5%。这意味着,大多数 Android 手机存在着未被修复的安全漏洞,暴露在木马的枪口之下。

看一眼就怀孕的“网络警察”

最近安全研究员们发现了一种名为网络警察(Cyber.Police)的木马变种,它的表现可谓让人“印象深刻”。

这个木马会隐藏在网页的广告代码之中。它的可怕之处在于,用户根本不需要进行下载这个动作。当你看到这条广告的时候,木马已经通过远程漏洞将一段代码下载到你的手机上,并且自动执行了。

这段代码的核心来自著名暴力 Root 软件“Towelroot”,它可以在后台悄无声息地拿到系统的 Root 权限。一旦拿到 Root 权限,就相当于买通了你的大管家,小偷从此可以自由出入你的豪华别野了。

接下来你的手机会被静默安装敲诈 App,这个 App 会在你的手机上置顶一张图片,显示你如果想要解锁,需要为黑客买两张价值100美金的 iTunes 礼品卡。(当然,你也可以选择买四张50美金的礼品卡。。。)此时你无论点击什么位置,都将无效。

【手机被锁定界面】

在“网络警察”整个的勒索过程中,用户完全不知情,直到木马完成锁定,受害者才恍然大悟。

360安全专家卞松山告诉雷锋网(公众号:雷锋网),

之所以“网络警察”能够做得这么干净利落,是因为他们使用了一个非常有杀伤力的远程代码执行漏洞,这些漏洞很早就被大名鼎鼎的网络军火商“Hacking Team”使用,2015年7月份随着 HackingTeam数据泄露,被大众所知。自那时开始,这些漏洞的分析和漏洞利用代码,很容易就可以在Internet被访问到。

在著名漏洞平台乌云上,雷锋网找到了对于这个漏洞利用的详细技术分析(感兴趣的童鞋戳这里)。通过这个分析可以看出,黑客连木马的名字都没有改动,就直接加以利用。

卞松山说,

这个木马比较新鲜的地方是利用这些已公开的技术做出了新的攻击手法,在用户完全不知道的情况下,自动下载木马并安装。

虽然在漏洞泄露之后,谷歌在第一时间封堵了这个漏洞。但是,正因为 Android 系统碎片化极其严重,这个漏洞在 Android 4.0.3-4.4.4 上依然完美奏效。

这意味着,全球有一半的 Android 手机可以被这个木马攻击。

美国安全公司 Blue Coat 的专家表示,

如果不幸中招,其实并没有必要按照黑客的要求支付赎金。通过刷机模式把手机恢复出厂设置就是一个很好的解决方案。当然,在刷机之前不要忘记连接电脑备份你的重要资料。

需要注意的是,如果直接通过电脑把手机升级系统到 Android 4.4.4 以上是不奏效的,因为敲诈 App 对系统的锁定已经完成,而升级系统是不会对 App 造成影响的。

目前这个木马的攻击以欧美国家为主,卞松山告诉雷锋网:

虽然在中国也存在这种类似功能的木马,但是就木马传播的方式而言,在国内暂时还没有发现类似的案例。

实际上,网络警察所使用的提权漏洞,对天朝的童鞋来说并不陌生。你还记得困扰你多时的全家桶吗?你安装了一个 App,在没有进行任何授权的情况下, 却发现手机里多了同一家族的诸多 App。没错,这些全家桶厂商所利用的技术,和敲诈木马基本一致。只不过他们还没有下流到直接向用户要礼品卡的程度。

对于用户来说,有一个好消息。那就是目前绝大多数黑客所掌握的高危漏洞都集中在较低版本的 Android 系统上。如果你想保住自己手机的贞操,不让流氓们随意进出的话,最好想办法跟上谷歌升级系统的节奏。

 

  本文作者:史中

本文转自雷锋网禁止二次转载,原文链接

时间: 2024-10-25 23:32:31

超级木马看一眼就中招,半数 Android 手机身处险境的相关文章

socket-java的Socket通信中如何获取android手机wifi的IP地址。

问题描述 java的Socket通信中如何获取android手机wifi的IP地址. # java的Socket通信中如何获取android手机wifi的IP地址???. 解决方案 这个可以直接用java中的获取IP方法 InetAddress addr = InetAddress.getLocalHost(); ip=addr.getHostAddress().toString;//获得本机IP address=addr.getHostName()toString;//获得本机名称

三大杀毒软件商紧急提醒:新电脑病毒看一眼就中

本报讯(记者贾中山)昨天,金山.瑞星.江民国内三大杀毒软件厂商发布预警称,微软lnk漏洞(快捷方式漏洞)刚刚被发现.以前的病毒.木马大多需要用户主动点击打开,而通过该漏洞传播的病毒木马,在用户浏览文件名的时候就已经发作了,堪称"看一眼就中毒". 技术专家提醒说,微软lnk漏洞(快捷方式漏洞)可以说是今年以来最具有危害性的漏洞,目前主流版本的windows操作系统都受到影响.更让人担忧的是,该漏洞是电脑病毒能够利用的一个渠道,而不仅是一个病毒.也就是说,虽然现在只发现了一两个能够利用ln

四成中招安卓手机买前已感染

一季度安卓手机病毒同比增近18倍 水货手机成病毒泛滥重灾区 上周末,360手机云安全中心发布<一季度手机安全报告>显示,一季度Android(安卓)平台新增恶意软件及木马 同比增长1785%,其中5个木马感染量累计超过229万次,占据Android 平台木马感染量的58%.而"隐私窃取"与"资费消耗"成为Android平台手机木马的主要危害.广东.北京.上海.江苏以及山东等五大地区已成为木马传播的高危地区,而水货手机成为病毒泛滥重灾区. 同时,工信部上周

百度安全预警:“强迫症”头像暗藏木马 谨防下载中招

中介交易 SEO诊断 淘宝客 云主机 技术大厅 由于带有浓烈的恶搞性质,近日,一组号称"分分钟死强迫症"的头像在微信用户群中大火.不少朋友为整蛊朋友,专门上网搜集此类头像,不过,百度安全中心提醒大家:"强迫症"头像暗藏木马,盲目下载极易引鬼上门. "强迫症头像"头像的设计非常简单,就是在微信头像的右上角有一个数字角标(通常是"1"),此类数字往往代表着有新的微信消息或更新提示,不少网友会习惯性地去戳该头像,反复点击后才会发现,

最毒木马软件在设备装满色情应用:无法删除 多国中招

据外媒报道,一款在手机中悄悄安装色情应用的恶意软件正在感染数百万部设备,正在成为全球最大的移动端木马病毒. 据安全和功能应用开发商猎豹移动透露,这款名为"悍马"(hummer)的恶意软件携带木马病毒,将会在手机中不停安装应用. 猎豹移动的研究人员从2014年起就开始追踪"悍马".该公司周三发布报告称,"悍马"病毒每天感染超过100万台设备,远远超过其他类型的移动木马病毒. 印度.印尼.土耳其.中国和墨西哥是这款病毒传播最为广泛的5个国家,同时美国

手机病毒蝗虫爆发短信别乱点 全国50万部手机中招

2日,有哈市市民向记者反映,收到一条带链接的短信,发短信的人是通讯录里的联系人,点开后,却遭遇了手机病毒.2日上午,哈市市民周晓梅正准备出门,拿起手机一看收到了朋友发来的信息.周女士告诉记者:信息里写着,周晓梅,看这个,http://cdn--XXshenqi.apk.因为当时在家有wifi,我也没多想,以为是朋友发来的有意思的网站就点开了.周女士说:没想到点击之后下载了一款apk压缩包应用软件,等了半天我看没反应,以为是朋友恶作剧就没当回事儿.可是没过几分钟,有朋友回复问她链接是什么意思,还给

从另外一个角度再看一眼2013

摘要: 如果以历史的视野看刚刚过去的2013年中国科技圈,它会有所不同吗,是否是五年.十年甚至更长一个时间段内与众不同的一年,或许是吧,因为2013年,有十个元年,开创了十个有影响 如果以历史的视野看刚刚过去的2013年中国科技圈,它会有所不同吗,是否是五年.十年甚至更长一个时间段内与众不同的一年,或许是吧,因为2013年,有十个"元年",开创了十个有影响力行业领域的新纪元. 文信海光微天下 热词也就是热门词汇.热词作为一种词汇现象,反映了一个国家.一个地区.一个行业在一个时期人们普遍

菜鸟不要怕,看一眼,你就会用GCD,带你装逼带你飞

相信读者已经看过很多大神们对GCD深入浅出的分析,这也是老生常谈的一个多线程的实现方式了,所以我也就不再啰嗦其理论.但是到底有多少方法是我们日常编程中常用的?又有多少是你不知道的?今天,我就来例举一些GCD的方法,绝对让你看一眼就会正确得使用. 与其说CGD是线程管理,不如说是队列管理,那么我们先来介绍一下GCD中常用的队列: Serial Diapatch Queue 串行队列 当任务相互依赖,具有明显的先后顺序的时候,使用串行队列是一个不错的选择 创建一个串行队列: dispatch_que

微软lnk漏洞解决方案 防范看一眼就中毒

2010年7月16日,Windows快捷方式自动执行0day漏洞(微软安全知识库编号2286198)被披露,很快网上已经可以找到利用这个漏洞攻击的样本.利用Windows快捷方式自动执行0day漏洞可以做到:看一眼恶意软件就中毒,而根本不需要去执行它.这个漏洞将会被广泛使用,网民须高度重视. 攻击者利用Windows快捷方式自动执行0day漏洞,可以制作一个特殊的lnk文件(LNK是快捷方式文件的 扩展名),当Windows解析这个LNK文件时,会自动执行指定的恶意程序.这个漏洞最佳利用通道是U