赛门铁克首次发现6款因“主密钥漏洞”受感染的Android应用,均来自中国
安全公司赛门铁克在自己的官方博客上发表文章,称首度发现6款因为Android“主密钥”漏洞而受到感染的应用,均来自中国,且为同一攻击者,但是博客并未透露具体是在哪个应用市场发现的。
这种所谓的“主密钥”漏洞即是本月早些时候移动安全公司 Bluebox披露的一个威胁99%Android设备的漏洞。该漏洞可令黑客在不改变应用密钥签名的情况下篡改 APK(安装包)代码,从而读取设备上任意手机应用的数据(电子邮件、短信、文档等),获取保存在手机上的所有账号和密码,接管并控制手机的正常功能。
虽然此后Google已向OEM提供威胁99%Android设备安全的漏洞补丁,但是由于 Android 的碎片化,Android 设备制造商和移动运营商不是很经常进行更新,以及众多第三方应用市场对应用上架的鉴权工作不到位,给Android设备带来很多安全隐患。
赛门铁克在博客中称恶意代码是由Norton Mobile Insight发现的。Norton Mobile Insight是赛门铁克的一款自动从各个应用商店收集和分析Android应用的工具。迄今为止,Norton Mobile Insight共发现了6款被感染的Android应用,均为中国应用市场上发现,且攻击者为同一人,被发现的受感染应用被命名为Android.Skullkey。
受感染应用截屏
从赛门铁克博客提供的截图来看,这6款受感染应用的其中两款为“医生预约”、“我的工作站”,随后博客又更新了4款受感染应用,但并未给出应用名称,只说是分别为一款流行的新闻应用、一款街机游戏、一款纸牌游戏以及博彩应用。
赛门铁克称,攻击者对上述应用注入了恶意代码(具体是哪些应用市场上的未透露),可令其远程控制设备,盗取诸如手机串号(IMEI)、电话号码等信息,并会向手机通信录的所有人发送指向hldc.com(目前该网站域名为待售状态)的链接,此外如果用户手机安装了国内的杀毒软件,恶意代码还会利用根权限屏蔽这些杀毒软件。
恶意代码片段
赛门铁克称攻击者利用此漏洞各增加了两个与原安装包内含文件同名的文件,分别为classes.dex(包含有应用代码)和AndroidManifest.xml(指定权限),以此来篡改应用。
对于此类病毒的防范,赛门铁克建议只从出名的Android应用市场下载应用,并利用杀毒软件扫描安装应用保护安全。