近日,迈克菲移动设备安全研究团队(McAfee Mobile Research)公开披露了一种被其名为“LeifAccess”的新型安卓恶意软。据称,这种恶意软件自2019年5月以来一直处于活跃状态,虽然在全球范围内都有现身,但主要还是集中在美国和巴西两国。
根据迈克菲研究人员的说法,LeifAccess不仅能够像其他大多数安卓恶意软件一样执行广告点击欺诈、自我更新以及为攻击者提供远程执行任意代码的能力,而且还能够使用受害者的电子邮箱来创建应用商店账户,进而给指定APP刷好评以提升它们的排名。
安卓辅助服务(AccessibilityService)再遭滥用
安装完成后,LeifAccess不会显示任何图标或快捷方式。它会隐藏在后台运行,并可能会通过显示Toast通知模拟如下图所示的系统警告,试图欺骗受害者激活AccessibilityService,以便能够执行后续恶意活动。
此前,已有许多安全研究人员指出AccessibilityService存在安全隐患。因为,一旦它被激活, 络黑客就能够在无需用户交互的情况下执行恶意活动。尽管谷歌在最新版本的安卓操作系统中已采取相应措施以尽可能减少滥用行为,但这似乎并没有降低 络黑客对此项服务的热衷。
总而言之,一旦受害者激活了AccessibilityService,那么LeifAccess便可以执行全部恶意活动。当然,即使是此项服务没有激活,它也能够执行部分恶意活动,例如广告点击欺诈、自我更新等。
使用受害者的真实用户身份创建账户
基于对第二阶段dex文件(fields.css)的静态分析,迈克菲研究人员得出结论,LeifAccess能够通过滥用AccessibilityService在谷歌应用商店Google Play上发布虚假评论。
在这之前,LeifAccess会尝试下载并安装目标APP,因为它只能对已安装的APP进行评论。
分析表明,APP主要通过Google Play下载,但是并不排除其他应用商店,比如APKPure。
研究人员在Google Play上找到了大量由LeifAccess生成的评论,这些评论与它从C&C服务器接收到的参数相匹配,存储在经过混淆处理的SharedPreferences XML文件中。
就拿这款名为“Super Clean-Phone Booster, Junk Cleaner & CPU Cooler”的APP来说,它的评分为4.5颗星,并且拥有超过7000条的评论,但其中有很多都是LeifAccess刷出来的。
通过下面这段代码,我们便可以看到LeifAccess是如何使用AccesibilityEvent导航到一款约会应用程序并使用谷歌登录选项创建帐户的。
此类APP还有很多,主要与购物、约会和 交等类别相关,部分APP安装包名称如下:
结语
LeifAccess可以说是一款十分成熟的安卓恶意软件,主要功能包括从Google Play或APK Pure下载APP、以受害者的名义在Google Play上发布虚假评论、在后台以全屏的形式显示广告以及自我更新等。
另一方面,LeifAccess还配备了多种反检测技术,能够最大限度地降低被各种杀毒软件检测出来的概率。
迈克菲研究人员推测,这种恶意软件将不断推出新的变种,毕竟无论是广告点击欺诈,还是给指定APP刷好评,都可以给其背后的运营者带来不错的收入。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!