通信人家园

标题: 研究发现低成本Android内置恶意软件 [查看完整版帖子] [打印本页]

时间: 2018-5-25 14:34

作者: mipha 标题: 研究发现低成本Android内置恶意软件

Avast(一款安全软件)发现许多低成本，未经Google认证的Android手机一般会内置恶意软件，被称为Cosiloon的恶意软件将广告叠加在操作系统上，以推广应用程序甚至诱骗用户下载应用程序。

该应用程序由一个木马病毒(dropper)和一个有效负载(payload)组成。 “该病毒是一个小的应用程序，没有做模糊处理，位于受影响设备的系统(/system)分区。该应用程序是完全被动的，用户只有在'设置'（settings）下的系统应用程序列表中才能看到。我们已经注意到了两个不同名称的'CrashService'和'ImeMess'的病毒，“Avast写道。然后，该病毒连指向一个网站，以获取黑客希望在手机上安装的“有效负载”（payload）。“XML清单包含有关要下载什么信息，要启动哪些服务以及包含白名单的信息，程序可能会排除特定的国家和设备进行感染。但是，我们从未见过使用该白名单的国家，只有少数设备的早期版本被列入白名单。目前，没有任何国家或设备被列入白名单。而整个Cosiloon网址在APK中被硬编码。“

该木马病毒是系统固件的一部分，不容易被移除。

总结：

在未经过用户同意或者用户知晓的前提下，通过一个未加密的HTTP连接下载应用程序包。该病毒预装在供应链的某个地方，由制造商，OEM或运营商预装。并且用户无法删除该病毒，因为它是系统应用程序，是设备固件的一部分。

Avast可以检测并删除有效载荷，他们建议按照Avast的说明禁用该病毒。如果该病毒在您的手机上识别到防病毒软件，它实际上会停止，但它仍然会在您使用默认浏览器浏览网页时推荐下载应用程序，这是一个抓取更多（甚至更糟）恶意软件的网关。

附件: 20180524A15.jpg (2018-5-25 14:34, 41.35 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=MzU3MDY4fDhiYzVmNmI5fDE3NTkyMzYzMDZ8MHww

通信人家园 (https://www.txrjy.com/)