移动安全公司Lookout发现,即便用户已经明确拒绝了界面跳转出来的安装请求,一些Android广告软件仍旧会自行开始在系统安装。 利用合法功能的Shedun家族 这些广告软件出自一个叫做Shedun的家族,包括Shedun (GhostPush)、 Kemoge (ShiftyBug)、Shuanet,通过欺骗用户授权安装。实际的情况是其会跳转出安装恶意广告软件的窗口,并且当用户明确选择拒绝时,它仍旧会继续安装,将自己安装到系统之中。 Shedun并没有利用系统的漏洞,相反,它利用了系统服务中的合法功能,即通过获取许可使用可访问性服务读取屏幕上出现的文本信息,然后当屏幕上出现安装窗口时再决定是否安装该软件。 研究人员也表示,在上周三的报告中,对于Shedun的家族,包括Shedun (GhostPush)、 Kemoge (ShiftyBug)、Shuanet,与其它恶意软件不同的地方在于并不是利用系统的漏洞,同时也是为数不多较难从Android系统中卸载掉的恶意软件,因为它是直接将自己植入到设备中并嵌入系统分区里边,这样即便用户对设备进行了恢复原厂设置它仍旧能够存在。 恶意软件很难删除 通过欺骗用户授权安装,其可获得专为视觉障碍用户设计的Android Accessibility Service的控制权限。同时这意味着他们可以读取屏幕上的文本信息,并将自己植入到设备中并嵌入系统分区里边。 该团队研究人员曾在过去一年研究了三个广告程序家族,包含Shuanet、ShiftyBug与Shedun,这三大家族把自己的广告程序绑定2万多款的应用程序中,遭假冒的应用程序多半都是Google Play中最受欢迎的程序,广告程序作者篡改这些程序后,再由第三方的Android程序市场发布。最初版本的Shedun仅仅目标只是投放广告,但是目前版本的功能可以在安装过程中打开第三方辅助功能。 Shedun目前直接将自己植入到设备中并嵌入系统分区里边,即使用户在使用设备中恢复出厂设置功能,该种恶意软件依旧会存在。 演示视频 *参考来源:securityaffairs、softpedia,编译/亲爱的兔子 |