移动安全公司Lookout发现,即便用户已经明确拒绝了界面跳转出来的安装请求,一些Android广告软件仍旧会自行开始在系统安装。
利用合法功能的Shedun家族
这些广告软件出自一个叫做Shedun的家族,包括Shedun (GhostPush)、 Kemoge (ShiftyBug)、Shuanet,通过欺骗用户授权安装。实际的情况是其会跳转出安装恶意广告软件的窗口,并且当用户明确选择拒绝时,它仍旧会继续安装,将自己安装到系统之中。
Shedun并没有利用系统的漏洞,相反,它利用了系统服务中的合法功能,即通过获取许可使用可访问性服务读取屏幕上出现的文本信息,然后当屏幕上出现安装窗口时再决定是否安装该软件。
研究人员也表示,在上周三的报告中,对于Shedun的家族,包括Shedun (GhostPush)、 Kemoge (ShiftyBug)、Shuanet,与其它恶意软件不同的地方在于并不是利用系统的漏洞,同时也是为数不多较难从Android系统中卸载掉的恶意软件,因为它是直接将自己植入到设备中并嵌入系统分区里边,这样即便用户对设备进行了恢复原厂设置它仍旧能够存在。
恶意软件很难删除
通过欺骗用户授权安装,其可获得专为视觉障碍用户设计的Android Accessibility Service的控制权限。同时这意味着他们可以读取屏幕上的文本信息,并将自己植入到设备中并嵌入系统分区里边。
该团队研究人员曾在过去一年研究了三个广告程序家族,包含Shuanet、ShiftyBug与Shedun,这三大家族把自己的广告程序绑定2万多款的应用程序中,遭假冒的应用程序多半都是Google Play中最受欢迎的程序,广告程序作者篡改这些程序后,再由第三方的Android程序市场发布。最初版本的Shedun仅仅目标只是投放广告,但是目前版本的功能可以在安装过程中打开第三方辅助功能。
Shedun目前直接将自己植入到设备中并嵌入系统分区里边,即使用户在使用设备中恢复出厂设置功能,该种恶意软件依旧会存在。
演示视频
*参考来源:securityaffairs、softpedia,编译/亲爱的兔子,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
关注我们 分享每日精选文章
不容错过
- 【快讯】乐天中国官网疑似遭遇黑客攻击,至今无法访问kuma2017-03-02
- 沙虫(CVE-2014-4114)新变种惊现针对台湾的APT攻击事件中Rabbit_Run2014-10-24
- 钓鱼邮件初探:黑客是如何进行邮件伪造的?dontshoot2016-01-07
- 黑色藤蔓(Black Vine):专攻航空航天和医疗保险的网络间谍组织森碟2015-07-30
Copyright © 2013 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
0day
已有 1 条评论
安卓还行不行