除了會替使用者訂閱不需要的服務還有會侵略性的派送廣告的惡意應用程式外,Android使用者也必須要小心那些有後門功能的應用程式。
雖然二〇一二年的主要惡意應用程式是加值服務濫用程式跟廣告軟體,但它們並不是Android上唯一的威脅。最近的頭條新聞有個關於殭屍網路/傀儡網路 Botnet運行在超過一百萬支智慧型手機上的報告,這正好說明了針對Android攻擊的多樣化,而且還沒有看到盡頭。
而在出現這些報告之前,我們從二〇一二年七月就開始看到這類型的惡意軟體,到目前為止實際偵測到4,282個樣本。趨勢科技所分析的相關樣本(趨勢科技偵測為ANDROIDOS_KSAPP.A,ANDROIDOS_KSAPP.VTD,ANDROIDOS_KSAPP.CTA,ANDROIDOS_KSAPP.CTB和AndroidOS_KSAPP.HRX)是從某第三方應用程式商店取得,但我們認為也可能出現在其他網站上。通常這些應用程式是放在遊戲類,有些會做成熱門遊戲的重新包裝版本。
我們所分析的第一批樣本是用相同的應用程式名稱,應該是來自同一家公司。
一旦這些惡意應用程式被安裝成功,它會連到下列的遠端網站以取得壓縮過的腳本程式,然後讀取這腳本程式:
- https://{BLOCKED}y.{BLOCKED}i.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0
- https://{BLOCKED}n.{BLOCKED}1302.com:5222/kspp/do?imei=xxxx&wid=yyyy&type=&step=0
- https://{BLOCKED}1.com:5101/ks/do?imei=xxxx&wid=yyyy&type=&step=0
需要解讀下載的腳本程式讓它比一般出現在Android上的殭屍網路/傀儡網路 Botnet惡意軟體更加複雜,因為惡意軟體可以透過新腳本程式來變更自己。
如上圖所示,這惡意軟體還會更新執行中的腳本程式,以避免被防毒軟體偵測。這個更新機制讓惡意軟體可以下載自身的新變種。遠端腳本程式還包含自訂指令,讓遠端攻擊者可以在受感染設備上執行。例如,應用程式可以執行測試用函數(代碼如下所示):
解讀遠端腳本程式,可以用Java反射(reflections)安裝新的Java物件(如變數和函數),因此動態的遠端程式碼可以在本地端執行,這可能會導致其他惡意檔案的下載。為了提示使用者安裝這些檔案,應用程式會顯示通知列或彈跳視窗。下載這些檔案的使用者則不幸的會讓他們的設備受到更多惡意軟體感染。更不用說安裝ANDROIDOS_KSAPP變種可以讓遠端攻擊者控制使用者的設備,執行更多可怕的指令。
二〇一二年已經成為Android威脅的一年,而不僅是試試水溫而已。在我們的二〇一二年度安全綜合報導中提到,Android惡意軟體的數量成長到卅五萬,相對於我們在二〇一一年所看到的一千個行動惡意軟體,這是個跳躍性的變化。這成長讓人聯想到一般電腦上的威脅歷史,只是用更快的速度。如果這種趨勢繼續下去,我們預測今年惡意和高風險Android應用程式的數量將會在二〇一三年達到一百萬。 繼續閱讀
