云顶4008网站-云顶娱4008网址

联系我们

售前服务电话:800-820-8876
售后服务电话:800-820-8839
手机用户可拨打:400-820-8839

2015年7月移动客户端安全威胁概况

本月,截至 2015.7.31 日,发布中国区移动客户端病毒码 1.925.00,大小 9,168,333 字节。


样本检测数量


APK检测数量


十大恶意软件家族


十大广告软件家族


Hacking Team 的 RCS Android 可以监控电话

我们注意到关于 iOS 设备受到 Hacking Team 间谍软件威胁的消息,其实 Android 设备同样会受到威胁。我们在泄露的内部文件中发现开源间谍软件包 RCSAndroid (Remote ControlSystem Android),这个间谍工具套件被用于向客户出售,用来监控目标。(有研究者早在 2014年已经发现了这个恶意软件,详情请见链接)


RCSAndroid 可以称为目前最复杂,技术最成熟的安卓恶意软件。泄露的源代码为其他黑客生产更多的监控工具提供了素材。


基于泄露的源码,RCSAndroid 可以实现以下监控功能:

●    通过“screencap”命令抓取屏幕截图

●    监控剪切板内容

●    收集 Wifi 网络密码以及网上账户信息,包括Skype,Facebook,Twitter,Google,WhatsApp,Mail 和 Linkedin 账户

●    收集短信、彩信以及 Gmail 信息

●    收集用户地理位置

●    收集设备信息

●    用前置或后置摄像头拍照

●    收集联系人姓名或从 IM 账户解码信息,包括 Facebook,Messenger,WhatsApp,Skype,Viber,Line,WeChat,Hangouts,Telegram 和 Blackberry Messenger

●    通过挂钩系统服务“mediaserver”捕获实时通话内容


RCSAndroid 流行样本我们的研究显示最早的 RCSAndroid 样本出现在 2012 年。我们是通过其配置文件发现这一时间的。

●    它的 C&C 服务器位于美国,当然现在这个域名已经失效了。




●    RCS通过一个来自捷克的号码的短信来激活。攻击者可以发送特定的信息来激活客户端或者发送相关指令。


●    通过流出的邮件我们发下一个捷克的公司在于 Hacking Team 进行交易,同时进行交易的还有一个奥林匹克运动会的 IT 合作商。


释放集束炸弹

RCSAndroid 的工作方式就像一个集束炸弹,它利用多种危险的 exploit 和技术来感染安卓设备。我们通过分析代码,发现整个系统分为如下四个重要组成部分:

1.渗透方法,通过短信、邮件或合法程序

2. 底层 native 代码,成熟的 exploit 和间谍工具

3. 高层 Java 代码,恶意 APK

4. C&C 服务器,用来远程发送攻击指令

攻击者通过两种方式使目标下载 RCSAndroid

第一个方法是通过短信或邮件向目标发送精心伪造的 URL。该 URL 会触发默认浏览器的CVE-2012-2825 内存任意地址读取漏洞以及 CVE-2012-2871 堆溢出漏洞,涉及系统包括从Android 4.0 到 4.3.这些漏洞利用成功后还可能导致本地提取漏洞的利用。当机器的 root 权限被获得,后门即被安装,RCSAndroid 恶意 APK 也会随之被安装到手机上。


第二种方法是用一个可以绕过Google Play检测的后门程序,比如ANDROID_HTBENEWS.A。

在这里ANDROID_HTBNEWS以及前面提到的恶意APK目的都是来利用安卓设备上的本地提权漏洞。Hacking Team已经在代码里利用CVE-2014-3153和CVE-2013-6282。这两个漏洞会root手机并由此安装后门。


通过这个后门就可以安装上RCS了。这个RCS客户端包括两个核心部分,一个是信息收集模块,另外一个是事件触发模块。

●    信息收集模块负责收集前面提到的各种隐私信息。其中最重要的是通话收集功能,这个是通过hook系统服务mediaserver来实现的以语音通话playback为例。Mediaserver会首先创建一个唯一的音轨,循环播放所有的声音缓存,最后停止playback。声音的波形文件可以通过getNextBuffer()函数来dump下来。借助开源的Android Dynamic Instrumentation Toolkit和root权限,攻击者可以拦截任何函数的执行。



●    事件触发模块用来根据相应事件触发恶意行为。这些事件可以基于时间,充电,或者电量状态,地理位置,信号强度,运行中的程序,当前程序,SIM卡状态,短信中的关键字,以及是否锁屏等状态。


根据RCS的配置文件,包括以下行为


1. 同步配置文件,升级模块,下载新的病毒主体

2. 上传收集到的信息

3. 锁定设备

4. 执行远程命令

5. 发送指定的短信

6. 禁用网络

7. 禁用root权限

8. 取消root权限


为了避免在内存中被检测到,RCS还会检测模拟器和沙箱,用DexGuard混淆代码,对ELF字符串进行混淆,调整OOM(out-of-memory)值。有趣的是,还有一个未利用到的功能, 它可以通过操纵安卓包管理器里面的数据来添加或者删除程序的权限或者组件,甚至可以隐藏程序的图标。



我们的建议

Android作为流行的智能手机平台已经成为商业化监控软件的重要目标。攻击懂得通过root设备或者意exploit攻击是控制设备的有效手段。在一个被root的设备上,想保持安全简直是天方夜谭。

遵循以下建议可以最大限度地避免此类安全威胁:

●    禁止安装来源不明的第三方软件

●    定期升级系统来避免漏洞攻击。尤其是在RCSAndroid这个案例中,系统漏洞可以影响到4.4.4 KitKat版本的系统。当然这是通过泄露的邮件得到的信息,Hacking Team当时已经开始研发针对Android 5.0 Lollipop的漏洞利用了。

●    安装手机安全软件


泄露的RCSAndroid是一个商业化的监控工具,移动用户受到其带来的安全威胁。一些反常的现象,比如意外的手机重启,不明软件的安装,聊天程序突然失去响应等有时可能意味着手机已经被攻击了。


如果手机已经被感染上该恶意软件,那么没有root权限是无法移除它的。用户可以和手机厂商联系重刷手机固件。



法律声明隐私政策
? 2020 版权所有 云顶4008网站,云顶娱4008网址 蜀ICP备15028617号
XML 地图 | Sitemap 地图