信息來源:Freebuf
Google采取多種措施保護其應用商店并阻止惡意軟件進入,但黑客仍在尋找滲透應用商店和訪問用戶設備的方法。數百萬手機用戶無意間下載了惡意應用程序,這些應用程序可以訪問用戶數據,憑據,電子郵件,文本消息和地理位置。例如,在2020年2月,Haken惡意軟件家族通過8種不同的惡意應用安裝在50,000多臺Android設備中。
近期Check Point的研究人員發(fā)現了一個新的惡意軟件家族“Tekya”,該家族可在56個應用程序中運行,已在全球范圍內下載了近100萬次。惡意軟件模仿用戶的操作,點擊來自Google AdMob,AppLovin,Facebook和Unity等機構的廣告和橫幅。惡意應用程序中有二十四款針對兒童(從拼圖到賽車游戲),其余為實用程序(例如烹飪應用程序,計算器,下載器,翻譯器等)。
綜述
Tekya惡意軟件進行了代碼混淆,避免被Google Play Protect檢測,并利用Android中的“ MotionEvent”機制(于2019年推出)來模仿用戶的操作點擊。VirusTotal和Google Play Protect未檢測到Tekya惡意軟件家族,可從Google Play下載相關的56個應用程序。
惡意軟件克隆了合法應用程序來吸引用戶,其中大多數是兒童,因為Tekya惡意軟件大多數是兒童游戲,目前這些應用程序已全部從Google Play中刪除。但是,這再次凸顯了Google Play商店仍然可以托管惡意應用。商店提供了將近300萬個應用程序,每天有數百個新應用程序上傳,很難檢查每個應用程序是否安全。用戶不能僅依靠Google Play的安全措施來確保下載軟件的安全性。
下面為惡意應用程序示例,全部惡意軟件列表見附錄:
技術分析
從Google Play安裝此應用程序后,將執(zhí)行以下多項操作:
“BOOT_COMPLETED”允許設備啟動時運行代碼
“USER_PRESENT”檢測用戶何時正在使用設備
“QUICKBOOT_POWERON”允許設備重啟后運行代碼
接收器在.apk文件中的libraries文件夾加載本地“ libtekya.so”文件。
在“ Tekya”庫的構造函數中,創(chuàng)建“ Validator”對象列表。
在每個“ Validator”中都會有調用方法運行來自本地庫“ libtekya.so”的內部函數。“ AdmobValidator”調用c函數,然后運行z函數,該函數又從本機庫中調用“ zzdtxq”函數。
在“ libtekya.so”庫中,Validator調用的函數負責多種操作:
“ffnrsv”負責解析配置文件
“getWindow”和“getDecorView”獲取所需的句柄
“ sub_AB2C”負責處理上述功能的結果
最后“ sub_AB2C”創(chuàng)建并調度觸摸事件,通過“ MotionEvent”模仿點擊:
VirusTotal對惡意軟件測試結果:
如何防護
如果懷疑自己的設備上裝有這些惡意應用程序之一,請執(zhí)行以下操作:
從設備上卸載惡意應用程序
安裝安全解決方案以防止感染
將操作系統(tǒng)和應用程序更新到最新版本
附錄