安卓签名漏洞疯狂爆发 正版应用遭遇“寄生虫”

2013年7月CNCERT主办的国家信息安全漏洞共享平台（CNVD）收录了Android操作系统存在一个签名验证绕过的高危漏洞(编号：CNVD-2013-28152)，并将该漏洞信息在通信行业内进行通报。

7月下旬，利用该签名漏洞的Skullkey扣费木马犹如“寄生虫”般寄生于正常APP中并开始疯狂传播。CNCERT监测发现在第三方应用市场“安丰市场”中存在6644个利用签名漏洞被植入Skullkey扣费木马的恶意APP。

签名漏洞利用成本低，危害性大

利用该签名漏洞，黑客可以在不破坏正常APP程序和签名证书的情况下，向正常APP中植入恶意程序，一方面利用正常APP的签名证书逃避Android系统签名验证，另一方面能够在运行时执行被植入的恶意程序。

由于无需对正常APP进行修改，利用该签名漏洞向正常APP中植入恶意程序的成本非常低。此外，利用该签名漏洞的恶意APP具有很强的危害性和隐藏性，终端防护软件无法通过签名来检验程序的安全性。“寄生”在正常APP中的恶意程序可以轻松绕过终端防护软件，在用户终端后台执行各种恶意行为，造成用户隐私信息泄露、恶意扣费等严重危害。

利用签名漏洞，正版APP被植入扣费木马Skullkey

CNCERT在捕获Skullkey扣费木马后，对该木马进行了全面分析，并依据通信行业标准YD/T 2439-2012《移动互联网恶意程序描述格式》判鉴定该手机木马属于“恶意扣费”类恶意程序，将其归入A.Payment. Skullkey恶意代码家族中。

Skullkey扣费木马利用Android操作系统签名漏洞，向正常APP中植入恶意程序，在用户不知情的情况下，通过后台发送扣费短信，并屏蔽回执短信。此外，该木马还可以在后台读取手机中的通讯录信息，同时具备向联系人发送广告或欺诈短信的权限。

第三方“安丰市场”成为“恶意传播源”

CNCERT监测发现在第三方应用市场“安丰市场”中存在6644个由于Android操作系统签名漏洞被植入Skullkey扣费木马的恶意APP，按照功能分布如下：

为了提高恶意APP的下载量，黑客会优先选择向热门APP中植入Skullkey扣费木马。在以上6644个恶意APP中，许多APP都为热门APP：

1. 工具类APP：新浪微博，腾讯QQ，搜狐新闻客户端，UC浏览器，优酷视频，土豆视频，CCTV客户端等；

2. 经济类APP：农业银行手机客户端，兴业银行手机客户端，支付宝，淘宝，苏宁易购等；

3. 安全类APP：腾讯手机管家，360手机卫士，安全管家，LBE手机安全大师，赛门铁克，网秦，金山毒霸等。

可以看出，经济类APP和安全类APP逐渐成为黑客入侵的新目标。根据“安丰市场”网站的下载次数统计显示，这些恶意APP的累计下载总次数已超过200万次。

CNCERT在监测发现“安丰市场”中存在6644个的被植入Skullkey扣费木马的恶意APP后，第一时间通知该应用商店下架所有6644个恶意APP，并彻底删除相应的APP下载链接。同时，CNCERT将6644个恶意APP信息和相应URL下载链接通过中国反网络病毒联盟向全社会进行黑名单发布。