超级木马看一眼就中招,半数 Android 手机身处险境

对于一个手机木马来说,这是最好的时代,也是最坏的时代。

  • 说是最好的时代,因为绝大多数人都拥有至少一部手机,它们都是木马的猎物。

  • 说是最坏的时代,因为手机系统的安全系数正在以指数级的速度增长。如今木马想要搞定一部手机,要付出的艰辛一点儿都不亚于历史上真实木马中的希腊战士攻陷特洛伊。

危险的三道门

迫于“技术限制”,大多数木马不可能为所欲为。在“敲诈木马界”,一个通用的套路就是“打开三道门”:

第一道门:黑客利用各种渠道发送钓鱼链接给受害者,受害者在诱骗之下点击了链接,从而下载了恶意 App。

第二道门:随后这个恶意 App 会请求用户安装,用户需要同意。

第三道门:在安装的过程中,它还会向用户请求诸多权限,而粗心的用户可能会不假思索地授权。

得到授权之后的恶意 App 可谓如虎添翼,凶相毕露。它会锁住用户的手机,然后向受害者索要比特币赎金。

可以看到,这样的敲诈木马想要最终成功,大概需要和用户进行三次互动。而每一次互动都非常可能让受害者警觉。所以就实际情况而言,这种敲诈的成功率比你想象得要低。

超级木马看一眼就中招,半数 Android 手机身处险境

【手机敲诈软件的勒索信/图片来自腾讯电脑管家】

漏洞,黑客的解药

如果一个敲诈木马需要和用户互动三次,这大概就像一个小偷去偷东西还要按门铃。作为一个“有理想”的敲诈木马,它的目标就是干掉和用户的这三次互动,采用“溜门撬锁”的方法进入核心地带。

从木马的角度来看,此时漏洞就是它的解药。Android 系统可能存在各个层面的漏洞,然而绝大多数漏洞的目的都集中在两个点上:“代码执行”和“提权”。

  • 如果想让用户在不知不觉中下载恶意木马,需要依靠“代码执行”漏洞,这就打开了上述的第一道门。

  • 如果想实现后台静默安装和取得权限,则需要“提权”漏洞,这就打开了上述的第二和第三道门。

事实上,打开这三道门远不如说起来这么简单。首先,这个“代码执行漏洞”必须是质量非常高的“远程代码执行漏洞”。顾名思义,必须由远端的服务器下发指令,实现本地手机上的代码执行。其次,“提权漏洞”必须把敲诈木马的权限提升到 Root 级别,才能实现全程静默安装。

这样的漏洞如同高精尖的武器,昂贵而难以获得。就算是黑客手上拥有这样的高质量漏洞,它的使用窗口也是有限的。因为 Android 的亲爹谷歌并不是吃素的。为了对抗层出不穷的木马,谷歌每月都会为安卓系统发布官方更新补丁,封堵黑客们辛苦挖掘出来的漏洞。

然而,有一个悲伤的事实:对于天朝的童鞋来说,出于你懂的和不懂的原因,使用谷歌原生系统的人如凤毛麟角。大多数人会使用手机厂商深度定制的系统,例如 MIUI、Flyme、Smartisan OS,它们的升级频率和原生 Android 的步调是脱钩的。

其实,在世界范围内,这个问题也是相当严重。截止到2016年2月1日,Android 的最新版本 6.0 的普及率才刚刚超过1%,而 4.4 版本的安装率仍然高居35.5%。这意味着,大多数 Android 手机存在着未被修复的安全漏洞,暴露在木马的枪口之下。

超级木马看一眼就中招,半数 Android 手机身处险境

看一眼就怀孕的“网络警察”

最近安全研究员们发现了一种名为网络警察(Cyber.Police)的木马变种,它的表现可谓让人“印象深刻”。

这个木马会隐藏在网页的广告代码之中。它的可怕之处在于,用户根本不需要进行下载这个动作。当你看到这条广告的时候,木马已经通过远程漏洞将一段代码下载到你的手机上,并且自动执行了。

这段代码的核心来自著名暴力 Root 软件“Towelroot”,它可以在后台悄无声息地拿到系统的 Root 权限。一旦拿到 Root 权限,就相当于买通了你的大管家,小偷从此可以自由出入你的豪华别野了。

接下来你的手机会被静默安装敲诈 App,这个 App 会在你的手机上置顶一张图片,显示你如果想要解锁,需要为黑客买两张价值100美金的 iTunes 礼品卡。(当然,你也可以选择买四张50美金的礼品卡。。。)此时你无论点击什么位置,都将无效。

超级木马看一眼就中招,半数 Android 手机身处险境

【手机被锁定界面】

在“网络警察”整个的勒索过程中,用户完全不知情,直到木马完成锁定,受害者才恍然大悟。

360安全专家卞松山告诉雷锋网,

之所以“网络警察”能够做得这么干净利落,是因为他们使用了一个非常有杀伤力的远程代码执行漏洞,这些漏洞很早就被大名鼎鼎的网络军火商“Hacking Team”使用,2015年7月份随着 HackingTeam数据泄露,被大众所知。自那时开始,这些漏洞的分析和漏洞利用代码,很容易就可以在Internet被访问到。

在著名漏洞平台乌云上,雷锋网(公众号:雷锋网)找到了对于这个漏洞利用的详细技术分析(感兴趣的童鞋戳这里)。通过这个分析可以看出,黑客连木马的名字都没有改动,就直接加以利用。

卞松山说,

这个木马比较新鲜的地方是利用这些已公开的技术做出了新的攻击手法,在用户完全不知道的情况下,自动下载木马并安装。

虽然在漏洞泄露之后,谷歌在第一时间封堵了这个漏洞。但是,正因为 Android 系统碎片化极其严重,这个漏洞在 Android 4.0.3-4.4.4 上依然完美奏效。

这意味着,全球有一半的 Android 手机可以被这个木马攻击。

美国安全公司 Blue Coat 的专家表示,

如果不幸中招,其实并没有必要按照黑客的要求支付赎金。通过刷机模式把手机恢复出厂设置就是一个很好的解决方案。当然,在刷机之前不要忘记连接电脑备份你的重要资料。

需要注意的是,如果直接通过电脑把手机升级系统到 Android 4.4.4 以上是不奏效的,因为敲诈 App 对系统的锁定已经完成,而升级系统是不会对 App 造成影响的。

目前这个木马的攻击以欧美国家为主,卞松山告诉雷锋网:

虽然在中国也存在这种类似功能的木马,但是就木马传播的方式而言,在国内暂时还没有发现类似的案例。

实际上,网络警察所使用的提权漏洞,对天朝的童鞋来说并不陌生。你还记得困扰你多时的全家桶吗?你安装了一个 App,在没有进行任何授权的情况下, 却发现手机里多了同一家族的诸多 App。没错,这些全家桶厂商所利用的技术,和敲诈木马基本一致。只不过他们还没有下流到直接向用户要礼品卡的程度。

对于用户来说,有一个好消息。那就是目前绝大多数黑客所掌握的高危漏洞都集中在较低版本的 Android 系统上。如果你想保住自己手机的贞操,不让流氓们随意进出的话,最好想办法跟上谷歌升级系统的节奏。

雷锋网原创文章,未经授权禁止转载。详情见转载须知

超级木马看一眼就中招,半数 Android 手机身处险境

(完)