恶意app危害有哪些?Android恶意App了解Zen家族成员如何入侵装置

2019-01-18 15:01

导读: Google为了防止Android系统上有不好的App,谷歌将采取措施来减少这些有害App的存在,你想让你的手机和电脑少存在这些有害App,那就一起来了解一下吧。 Google在资安部落格分享了防范Android作业系统上潜在有害App(Potentially Harmful Applications,以下简

Google为了防止Android系统上有不好的App,谷歌将采取措施来减少这些有害App的存在,你想让你的手机和电脑少存在这些有害App,那就一起来了解一下吧。

Google在资安部落格分享了防范Android作业系统上潜在有害App(Potentially Harmful Applications,以下简称PHA)的经验,以会在设备上取得Root权限的Zen家族PHA为例说明,也提到Google Play Protect会透过静态分析、动态分析和机器学习等多种方式检测PHA,以保障使用者的安全。

解析以广告为主的PHA

要在茫茫App海中揪出PHA不是个简单的工作,而要找出PHA与其他App的关连性就更难了,更遑论PHA的作者多半会隐藏恶意程式码与相关迹象,让追查难度雪上加霜。

而在2013年4月,Google的研究人员发现了第1起使用动态程式码的案例(在App安装好后,才从远端来源下载执行程式码),这让界定PHA变得更加艰难,当初这个案例仅会显示来自不同来源的广告,而现今的变种PHA则更聚焦于点击欺诈(Click Fraud,透过程式对广告进行恶意点击,以诈领广告费)甚至是具有Root能力。不过幸好危险性高的Root攻击不是那么有利可图,所以反而点击欺诈的PHA比较多。

隐藏于App中的广告SDK可以归类为最简单的PHA,它可以让作者将第三方广告植入App,甚至可以直接销售广告、收集显示与点击次数等统计资料,以获取利润。

研究人员表示这类PHA主要可以分成2种形式,第1是滥竽充数的游戏,这类PHA大多模仿、抄袭热门游戏,但游戏品质非常低,其真正功能在于显示广告。第2种则是直接盗用热门游戏,将原始档案植入额外广告后重新封装,基本上游戏内容与原版相同,但游戏中会出现更多广告。

点击欺诈则是等级高一点的PHA,它会模拟使用者点击广告的动作,而不是单纯显示广告并等待使用者点击,这让作者可以取得更高的利润(通常点击广告的收益高于显示广告),但却会对广告商、投放者与使用者产生负面影响,因为投入的预算并没有让广告真正被人看到,更别提显示广告所需消耗的网路流量与费用。

藏入系统的感染途径

Zen家族是一系列PHA的总称,Zen会在装置上利用Root木马程式取得Root权限,并透过辅助功能服务(Accessibility Service)以建立假冒的Google帐号。

Zen作者利用公开的Root工具框架制作Root木马程式,试图将装置Root,并重新将自己安装至系统分割区,让使用者难以一般方式移除恶意程式。

值得庆幸的是,Zen的Root木马程式只会感染特定型号的装置中非常少数的系统版本,而且Android 4.4与更高版本的系统会透过开机验证(Verified Boot)功能保护系统,所以这种攻击手法只对Android 4.3以前的系统有效。

相关文章