分析Android惡意App,瞭解Zen家族成員如何入侵你的裝置

分析Android惡意App,瞭解Zen家族成員如何入侵你的裝置

ADVERTISEMENT

Google在資安部落格分享了防範Android作業系統上潛在有害App(Potentially Harmful Applications,以下簡稱PHA)的經驗,以會在設備上取得Root權限的Zen家族PHA為例說明,也提到Google Play Protect會透過靜態分析、動態分析和機器學習等多種方式檢測PHA,以保障使用者的安全。

解析以廣告為主的PHA

要在茫茫App海中揪出PHA不是個簡單的工作,而要找出PHA與其他App的關連性就更難了,更遑論PHA的作者多半會隱藏惡意程式碼與相關跡象,讓追查難度雪上加霜。

而在2013年4月,Google的研究人員發現了第1起使用動態程式碼的案例(在App安裝好後,才從遠端來源下載執行程式碼),這讓界定PHA變得更加艱難,當初這個案例僅會顯示來自不同來源的廣告,而現今的變種PHA則更聚焦於點擊欺詐(Click Fraud,透過程式對廣告進行惡意點擊,以詐領廣告費)甚至是具有Root能力。不過幸好危險性高的Root攻擊不是那麼有利可圖,所以反而點擊欺詐的PHA比較多。

隱藏於App中的廣告SDK可以歸類為最簡單的PHA,它可以讓作者將第三方廣告植入App,甚至可以直接銷售廣告、收集顯示與點擊次數等統計資料,以獲取利潤。

研究人員表示這類PHA主要可以分成2種形式,第1是濫竽充數的遊戲,這類PHA大多模仿、抄襲熱門遊戲,但遊戲品質非常低,其真正功能在於顯示廣告。第2種則是直接盜用熱門遊戲,將原始檔案植入額外廣告後重新封裝,基本上遊戲內容與原版相同,但遊戲中會出現更多廣告。

點擊欺詐則是等級高一點的PHA,它會模擬使用者點擊廣告的動作,而不是單純顯示廣告並等待使用者點擊,這讓作者可以取得更高的利潤(通常點擊廣告的收益高於顯示廣告),但卻會對廣告商、投放者與使用者產生負面影響,因為投入的預算並沒有讓廣告真正被人看到,更別提顯示廣告所需消耗的網路流量與費用。

分析Android惡意App,瞭解Zen家族成員如何入侵你的裝置

藏入系統的感染途徑

Zen家族是一系列PHA的總稱,Zen會在裝置上利用Root木馬程式取得Root權限,並透過輔助功能服務(Accessibility Service)以建立假冒的Google帳號。

Zen作者利用公開的Root工具框架製作Root木馬程式,試圖將裝置Root,並重新將自己安裝至系統分割區,讓使用者難以一般方式移除惡意程式。

值得慶幸的是,Zen的Root木馬程式只會感染特定型號的裝置中非常少數的系統版本,而且Android 4.4與更高版本的系統會透過開機驗證(Verified Boot)功能保護系統,所以這種攻擊手法只對Android 4.3以前的系統有效。

分析Android惡意App,瞭解Zen家族成員如何入侵你的裝置

下頁還有Zen如何建立假帳號的說明

國寶大師 李文恩
作者

電腦王特約作者,專門負責硬派內容,從處理器、主機板到開發板、零組件,尖端科技都一手包辦,最近的研究計畫則包括Windows 98復活與AI圖像生成。

使用 Facebook 留言
訪客
1.  訪客 (發表於 2019年2月19日 20:00)
P.2
在自動建立帳號的「過成」中按下實體按鍵    過成 > 過程
到「復雜」的木馬程式等等不同的技術    復雜 > 複雜
國寶大師 李文恩
2.  國寶大師 李文恩 (發表於 2019年2月25日 16:02)
※ 引述《訪客》的留言:
> P.2
> 在自動建立帳號的「過成」中按下實體按鍵    過成 > 過程
> 到「復雜」的木馬程式等等不同的技術    復雜 > 複雜
>
感謝提醒,已修正
發表回應
謹慎發言,尊重彼此。按此展開留言規則