Kemoge:最新的安卓恶意软件,可以根除你的智能手机
相关标签: # 服务器# 漏洞# 研究# 恶意软件# 设备
现在,最新的是Kemoge恶意软件“这是安卓手机上的一款广告软件,允许第三方应用商店获取并完全控制你的设备信息。
FireEye实验室的安全研究人员发现,Kemoge恶意广告软件家族正在全球20个国家传播。此外,该广告软件的攻击源被怀疑来自中国。
凯莫吉是什么?
恶意广告软件家族的名字是因为其指挥和控制(C2)域。
Kemoge是一款伪装成流行应用的广告软件;它之所以以这样的数字传播,是因为它取了流行应用的名称,并用恶意代码重新打包,让用户可以使用。
他们甚至使用同一个开发者的名字,就像官方Play Store上经过验证的干净应用一样。
一些受影响的流行应用有:(图片)
- Talking Tom 3
- 计算器
- 共享
- 小白点
- 无线增强器
凯莫吉是怎么工作的?
- 攻击者设置了一个外观真实的界面,将应用上传到第三方应用商店,并通过网站和应用内广告推广下载链接来玩智能游戏。
- 一些获得root权限的激进广告网络也可以自动安装示例。
- 一旦在设备上激活,Kemoge会收集设备信息并上传到广告服务器,然后在后台巧妙地提供广告。
- 无论当前的活动如何,受害者都会经常收到广告横幅,因为当用户留在Android主屏幕上时,广告甚至会弹出。
“起初凯莫吉只是让人讨厌,但很快它就变成了邪恶。”FireEye的研究人员说。
Kemoge甚至影响根设备
该恶意广告软件向根手机注入了八次根攻击,目标是各种设备型号。
其中一些漏洞来自开源项目,而另一些则来自商业工具。”根大石“(或”根主控").
获得root之后,它执行root.sh以获得持久性FireEye的研究人员说。“之后,它将AndroidRTService.apk作为Launcher0928.apk植入/system分区——文件名模仿合法的launcher系统服务。此外,这个apk的包名看起来也像真实的服务,例如com.facebook.qdservice.rp.provider和com.android.provider.setting。”
此外,恶意系统服务(Launcher0928.apk)会联系aps。凯莫吉。net获取命令。
凯莫吉是如何逃避侦查的?
为了逃避检测,Kemoge以不同的时间间隔与服务器通信。该恶意软件在首次启动时或安装后24小时内短暂运行恶意代码。
在每次查询中,Kemoge都会将包括手机IMEI、IMSI、存储信息和已安装应用程序信息在内的数据发送到远程第三方服务器。
上传设备信息后,恶意软件会向服务器发出命令,服务器会通过以下三个域中的命令进行恢复,恶意系统服务会执行该命令。命令如下:
- 卸载指定的应用程序
- 启动指定的应用程序
- 从服务器提供的URL下载并安装应用程序
FireEye的研究人员对运行安卓4.3的Nexus 7(果冻豆)。在实验过程中,服务器命令该设备卸载合法的应用程序,并让该设备充满恶意代码。
如何防范Kemoge?
Kemoge是一个危险的威胁,为了安全起见,建议您:
- 千万不要点击任何来自电子邮件、短信、网站或广告的可疑链接。
- 永远不要在官方应用商店之外安装应用。
- 让你的安卓设备保持最新,以避免被公众已知的漏洞所根植(将设备升级到最新版本的操作系统提供了一些安全性,但并不总是保证保护)。
- 卸载显示广告的应用程序。
要了解更多关于Kemoge的信息,请关注FireEye的官方博客。此外,如果您的Android设备遇到任何此类问题,请识别向您提供恶意广告软件的应用程序,并在下面的评论中告知我们。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
