首页> 安全资讯 > 安卓签名漏洞疯狂爆发 正版应用遭遇“寄生虫”

安卓签名漏洞疯狂爆发 正版应用遭遇“寄生虫”

发布时间:2013-08-22

2013年7月CNCERT主办的国家信息安全漏洞共享平台(CNVD)收录了Android操作系统存在一个签名验证绕过的高危漏洞(编号:CNVD-2013-28152),并将该漏洞信息在通信行业内进行通报。7月下旬,利用该签名漏洞的Skullkey扣费木马犹如“寄生虫”般寄生于正常APP中并开始疯狂传播。CNCERT监测发现在第三方应用市场“安丰市场”中存在6644个利用签名漏洞被植入Skullkey扣费木马的恶意APP。

爱加密可以百分之百的保护代码安全,减少利益损失。对开发者开说,操作程序并不复杂,只需要简单的上传操作,就可以完 成应用源代码加密,让恶意骚扰销声匿迹。使用爱加密,能够防止应用被加入病毒、扣费sdk、广告SDK等恶意代码,.并且,加密之后应用性能并不会受到任 何影响。最关键的是,爱加密可以全方面的保护应用,将所有的静态破解和动态破解都拒之门外,不留任何死角,让应用坚不可摧。爱加密提醒广大开发者要注意保护自己的知识产权,在上传到市场之前一定要给APP加密,这样才能使APP不被篡改、反编译和注入恶意代码,不被第三方市场的任何病毒侵害。

签名漏洞利用成本低,危害性大

利用该签名漏洞,黑客可以在不破坏正常APP程序和签名证书的情况下,向正常APP中植入恶意程序,一方面利用正常APP的签名证书逃避Android系统签名验证,另一方面能够在运行时执行被植入的恶意程序。

由于无需对正常APP进行修改,利用该签名漏洞向正常APP中植入恶意程序的成本非常低。此外,利用该签名漏洞的恶意APP具有很强的危害性和隐藏性,终端防护软件无法通过签名来检验程序的安全性。“寄生”在正常APP中的恶意程序可以轻松绕过终端防护软件,在用户终端后台执行各种恶意行为,造成用户隐私信息泄露、恶意扣费等严重危害。

利用签名漏洞,正版APP被植入扣费木马Skullkey

CNCERT在捕获Skullkey扣费木马后,对该木马进行了全面分析,并依据通信行业标准YD/T 2439-2012《移动互联网恶意程序描述格式》判鉴定该手机木马属于“恶意扣费”类恶意程序,将其归入A.Payment. Skullkey恶意代码家族中。

Skullkey扣费木马利用Android操作系统签名漏洞,向正常APP中植入恶意程序,在用户不知情的情况下,通过后台发送扣费短信,并屏蔽回执短信。此外,该木马还可以在后台读取手机中的通讯录信息,同时具备向联系人发送广告或欺诈短信的权限。

第三方“安丰市场”成为“恶意传播源”
CNCERT监测发现在第三方应用市场“安丰市场”中存在6644个由于Android操作系统签名漏洞被植入Skullkey扣费木马的恶意APP,按照功能分布如下:


为了提高恶意APP的下载量,黑客会优先选择向热门APP中植入Skullkey扣费木马。在以上6644个恶意APP中,许多APP都为热门APP:

1. 工具类APP:新浪微博,腾讯QQ,搜狐新闻客户端,UC浏览器,优酷视频,土豆视频,CCTV客户端等;
2. 经济类APP:农业银行手机客户端,兴业银行手机客户端,支付宝,淘宝,苏宁易购等;
3. 安全类APP:腾讯手机管家,360手机卫士,安全管家,LBE手机安全大师,赛门铁克,网秦,金山毒霸等。
可以看出,经济类APP和安全类APP逐渐成为黑客入侵的新目标。根据“安丰市场”网站的下载次数统计显示,这些恶意APP的累计下载总次数已超过200万次。CNCERT在监测发现“安丰市场”中存在6644个的被植入Skullkey扣费木马的恶意APP后,第一时间通知该应用商店下架所有6644个恶意APP,并彻底删除相应的APP下载链接。同时,CNCERT将6644个恶意APP信息和相应URL下载链接通过中国反网络病毒联盟向全社会进行黑名单发布。

附: 图解安丰市场中被植入扣费木马的腾讯QQ
第三方“安丰市场”首页具有“热门应用”板块,在该板块中的应用是下载次数是在整个安丰市场中排名最靠前的APP,其中排名第一的是“手机QQ2013”。


进入“手机QQ2013”页面,可以看到该APP已累计下载896844次。点击“立即下载”后获得“手机QQ2013”安装文件“1373852745887.apk”。


利用7-zip压缩工具打开该APK安装文件,可以看到具备两个“classes.dex”文件,而正常的手机QQ安装程序只会有一个 “classes.dex”文件,因此可以判定该安装程序已被黑客利用并植入恶意程序。且“classes.dex”文件的创建时间为2013年7月21 日,而该APP最后的更新时间为2013年7月15日,两个时间不吻合。经我中心深入分析,判定植入的恶意程序为扣费木马Skullkey。


除手机QQ2013外,如UC浏览器、腾讯微信、搜狗输入法、360手机卫士、搜狐客户端等热门APP均存在同样问题,被植入扣费木马Skullkey。通过对整个“安丰市场”进行整体检查,我中心共发现类似被植入扣费木马Skullkey的恶意APP共计6644个。


安丰市场被植入Skullkey扣费木马的恶意APP黑名单

来源:http://www.cert.org.cn/publish/main/12/2013/20130802082426216828084/20130802082426216828084_.html

加入收藏