自動建立假帳號

當裝置被感染之後,Zen就能取得系統中最高的Root權限,並會試著替換系統分割區中App的framework.jar檔案,以攔截和修改Android標準API的行為。這些惡意程式大多會在「Activity」分類中插入「statistics()」指令,以達到連接至C&C伺服器的目的。

當木馬程式永久進駐系統「落地生根」之後,就會透過網路下載額外程式酬載,其中就包括需要Root權限才能開啟輔助功能服務並正常運作的Zen惡意程式。

值得注意的是,Zen並不會檢查是否擁有Root權限,運作時只是假設擁有,並會依據不同的Android版本啟動3種不同Android API等級的輔助功能服務,並自動點擊對應按鈕,在不需使用者操作的情況下註冊新的Google帳號。當遇到CAPTCHA驗證時,惡意程式會將圖像擷取並回傳至遠端伺服器處理(研究人員尚無法推測會由伺服器中的程式或以人力方式進行驗證),如此一來就能在裝置上建立新帳號。

此外Zen還會透過Root權限在system_server處理程序中植入程式碼,試圖將自己隱藏起來,讓掃毒程式或無法掃描system_server的程式無法揪出,並會透過掛鈎(Hook) 以及稱為「Lmt_INJECT」的惡意程式碼防止裝置重新啟動、進入睡眠狀態,以及使用者在自動建立帳號的過程中按下實體按鍵。

分析Android惡意App,瞭解Zen家族成員如何入侵你的裝置

分析Android惡意App,瞭解Zen家族成員如何入侵你的裝置

Zen流行期已過

PHA的作者的目標不外乎就是透過各種手段來賺取利潤(無論手法為何,最終的目的就是要賺錢),Zen家族的作者展示了從簡單地插入廣告SDK,到複雜的木馬程式等等不同的技術,其中最氾濫的就是點擊欺詐的PHA,在2018年2月最高峰時,安裝次數突破170,000次,以地理分布來看,受影響最嚴重的國家是印度、巴西和印尼,現在這些PHA已經全數被Google Play Protect偵測,並從Google Play網路商店中移除。

有趣的是,雖然Google Play Protect在偵測到PHA時會主動提出警告,但這類PHA大多是被使用者主動刪除,研究人員推測其原因可能是PHA本身的功能與品質太糟糕,所以使用者安裝、看看後就將它刪除了。

分析Android惡意App,瞭解Zen家族成員如何入侵你的裝置

Google表示他們一直在防止新的威脅,並擴大保護範圍,已安裝Google Play的設備都包含整合於其中的Google Play Protect,Google官方也會定期掃描Google Play上的所有App,以確保使用者的安全。

使用 Facebook 留言

訪客
1.  訪客 (發表於 2019年2月19日 20:00)
P.2
在自動建立帳號的「過成」中按下實體按鍵    過成 > 過程
到「復雜」的木馬程式等等不同的技術    復雜 > 複雜
國寶大師 李文恩
2.  國寶大師 李文恩 (發表於 2019年2月25日 16:02)
※ 引述《訪客》的留言:
> P.2
> 在自動建立帳號的「過成」中按下實體按鍵    過成 > 過程
> 到「復雜」的木馬程式等等不同的技術    復雜 > 複雜
>
感謝提醒,已修正

發表回應

謹慎發言,尊重彼此。按此展開留言規則