安卓签名漏洞疯狂爆发 正版应用遭遇“寄生虫”

2013年7月CNCERT主办的国家信息安全漏洞共享平台(CNVD)收录了Android操作系统存在一个签名验证绕过的高危漏洞(编号:CNVD-2013-28152),并将该漏洞信息在通信行业内进行通报。

7月下旬,利用该签名漏洞的Skullkey扣费木马犹如“寄生虫”般寄生于正常APP中并开始疯狂传播。CNCERT监测发现在第三方应用市场“安丰市场”中存在6644个利用签名漏洞被植入Skullkey扣费木马的恶意APP。

签名漏洞利用成本低,危害性大

利用该签名漏洞,黑客可以在不破坏正常APP程序和签名证书的情况下,向正常APP中植入恶意程序,一方面利用正常APP的签名证书逃避Android系统签名验证,另一方面能够在运行时执行被植入的恶意程序。

由于无需对正常APP进行修改,利用该签名漏洞向正常APP中植入恶意程序的成本非常低。此外,利用该签名漏洞的恶意APP具有很强的危害性和隐藏性,终端防护软件无法通过签名来检验程序的安全性。“寄生”在正常APP中的恶意程序可以轻松绕过终端防护软件,在用户终端后台执行各种恶意行为,造成用户隐私信息泄露、恶意扣费等严重危害。

利用签名漏洞,正版APP被植入扣费木马Skullkey

CNCERT在捕获Skullkey扣费木马后,对该木马进行了全面分析,并依据通信行业标准YD/T 2439-2012《移动互联网恶意程序描述格式》判鉴定该手机木马属于“恶意扣费”类恶意程序,将其归入A.Payment. Skullkey恶意代码家族中。

Skullkey扣费木马利用Android操作系统签名漏洞,向正常APP中植入恶意程序,在用户不知情的情况下,通过后台发送扣费短信,并屏蔽回执短信。此外,该木马还可以在后台读取手机中的通讯录信息,同时具备向联系人发送广告或欺诈短信的权限。

第三方“安丰市场”成为“恶意传播源”

CNCERT监测发现在第三方应用市场“安丰市场”中存在6644个由于Android操作系统签名漏洞被植入Skullkey扣费木马的恶意APP,按照功能分布如下:

种类

比例

游戏类

44%

工具类

24%

社交类

11%

其他

21%

为了提高恶意APP的下载量,黑客会优先选择向热门APP中植入Skullkey扣费木马。在以上6644个恶意APP中,许多APP都为热门APP:

1. 工具类APP:新浪微博,腾讯QQ,搜狐新闻客户端,UC浏览器,优酷视频,土豆视频,CCTV客户端等;

2. 经济类APP:农业银行手机客户端,兴业银行手机客户端,支付宝,淘宝,苏宁易购等;

3. 安全类APP:腾讯手机管家,360手机卫士,安全管家,LBE手机安全大师,赛门铁克,网秦,金山毒霸等。

可以看出,经济类APP和安全类APP逐渐成为黑客入侵的新目标。根据“安丰市场”网站的下载次数统计显示,这些恶意APP的累计下载总次数已超过200万次。

CNCERT在监测发现“安丰市场”中存在6644个的被植入Skullkey扣费木马的恶意APP后,第一时间通知该应用商店下架所有6644个恶意APP,并彻底删除相应的APP下载链接。同时,CNCERT将6644个恶意APP信息和相应URL下载链接通过中国反网络病毒联盟向全社会进行黑名单发布。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2013-08-02

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏漏斗社区

专属|多地爆发GlobeImposter勒索病毒攻击

下着小雨的周五,时光都变得温婉而惬意。此时的斗哥正在办公室码着字,为你们搜罗本周的安全资讯。emmm。稍后的推送中,我们不见不散。

13830
来自专栏企鹅号快讯

2018年的黑客攻击 你做好准备了吗?

Equifax黑客事件泄露了1.45亿社会安全号,WannaCry勒索软件锁定了大量计算机并要求用户支付比特币赎金。经过了这一整年,我们还需要更多证据来说服自己...

40790
来自专栏腾讯数据中心

柴油发电机维护手册

柴油发电机是提供机房电力应急保障的重要组成部分,为保证在应急时,柴油发电机(下简称:柴发)能正常持续工作,日常维护不可或缺。 下面,笔者以腾讯某机房柴发的维护日...

39050
来自专栏黑白安全

网络时代,你的信息安全吗?你的信息在悄悄泄露,你知道吗?

智能手机现在的普及率极高,大家使用网络平台端支付、消费、注册各种网站、软件,不少客户端需要上传本人身份证、银行卡等信息及照片,基本各大平台都注明:该信息不会透露...

15130
来自专栏BestSDK

下“小片”的群众注意了,新型“迅雷种子”病毒已感染超2万台PC

种子是个神奇的东西。 小时候我得知,发芽的种子能掀翻最坚硬的岩石; 长大后我发现,种子能让我赢来众多网友的祝福,哪怕素未谋面。 ? 【图片来自网络】 种子是如此...

38850
来自专栏tiane12

国内主流机房IP段

80130
来自专栏企鹅号快讯

黑客找到Switch内核漏洞 但表示不会发布

近日,在德国34C3黑客大会上,三位黑客Plutoo、Derrek和Naehrwert在现场介绍了他们如何利用内核漏洞绕过任天堂Switch的底层保护机制,来获...

25060
来自专栏FreeBuf

不止一个!戴尔又一根证书漏洞被黑客利用

本月25日我们讨论了戴尔eDellRoot根证书漏洞,同样的问题今天又被曝露出来:在某些戴尔系统中发现了第二个自签名的根证书DSDTestProvider,并且...

217100
来自专栏FreeBuf

揭秘:短信拦截木马背后的黑色产业

0×01 概述 从2013年5月至今,AVL移动安全团队持续监测到了一类高活跃高危害的短信拦截类型木马。短信拦截马,顾名思义是一种可以拦截他人短信木马,就是让被...

47580
来自专栏小文博客

0元撸斐讯路由器,谁赚谁亏?

27440

扫码关注云+社区

领取腾讯云代金券