上周,iOS平台上XcodeGhost鏖战正欢的时候,同期Android平台也面临了有史以来最严重的一次安全威胁(之一),只不过因为XcodeGhost实在有让人吓尿的震撼力,导致Android的这两位病毒同学没能出上风头。估计这两只病毒的作者还是有那么点不爽的(虽然病毒与木马的隐蔽性更重要)。
本着强悍的事物在这个世界都该有成名机会的原则,小编再将这两位的身世摆上台面,顺带在结论中告诉大家,怎样才能彻底和病毒或恶意程序说再见。而这两位,真正有着将Android世界的病毒,达成与Windows桌面世界并驾齐驱的本事。
它也骗过了审核机制
要说Android平台的病毒,那就比iOS的那位骗子复杂多了,主要原因是苹果对iOS采用了几乎高压式的封闭政策,导致就算类似网 易云音乐这样的应用感染了恶意代码,也无法对其他应用乃至iOS系统产生任何影响。而Android是个开放得多的平台,这样,病毒才有放开手脚的可能。
不过Google也不是吃素的,人家的Google Play Store应用商店也有审核机制,你的应用要上架得先经过Google Bouncer这一关。可是不知何年何月,一款名叫Brain Test的应用在Google商店上架了,这是个智力测验型的游戏应用。
不久以后,一位Nexus 5用户发现这款应用有问题,打算卸载该应用,但发现无论如何都卸载不了。国外Check Point软件技术公司于是开始对Brain Test应用发起研究,发现其恶意行为非常霸道。Brain Test在8月24日从Google Play Store下架。但很稀罕的是,9月10日,这款应用再度上架,直到15日被再度查出问题才又一次下架。这两次Brain Test在Google Play Store的折腾,前后加起来可能影响到了多达100万Android用户,这个数量级在Android的历史上也并不算多见。
话说Google Bouncer做审核的时候难道在睡觉吗?而且居然还让Brain Test两度上架。这是个有些类似于最近大众汽车柴油引擎排放作弊的故事:首先得谈谈啥是Google Bouncer——早在2012年,Google发布审核服务Bouncer,它能够对开发者的App进行扫描,甚至还能在Google服务器上模拟App活动,检查App是否在用户不知情的情况下收集个人信息;Android 4.2时代还进行了一次强化。
(传说中的Brain Test)
不过Brain Test的作者显然更聪明,他为这款恶意程序的运行添加了一个白名单,即当它检测到自己在某些特定IP,或者包含google、android这样的域名下运行的时候,就不会激发病毒特性,而是老老实实地作为智力测验游戏存在。也就是说在Google Bouncer服务器上表现得很乖,但在用户下载使用的时候才表现出本性(是不是跟大众最近的这个行为很像啊?)。
那么为啥在发现它有问题下架以后,9月份又上架了一次呢?据说是使用一款百度工具来混淆代码,让Google Bouncer无法确定它就是之前那个Brain Test。至于是啥工具,Check Point在分析报告中并没有说。但这的确让它再度成功上架。这个故事告诉我们,一切审核手段都是不靠谱的,如此轻易就能欺骗Google Bouncer(和App Store),以后我们究竟还能不能相信官方商店呢?
Android病毒特性全面与Windows病毒接轨
我们知道,由于Windows系统安装在超过90%的个人电脑上,所以其病毒数量和种类真是让人眼花缭乱,尤其在Windows 98和XP时期,甚有突破天际之势。Android系统随着设备数量的急剧上升,病毒和恶意程序也一步步渗透,不过早期的病毒普遍还比较弱智,很大一部分通过直接卸载或查杀就能搞定。但Brain Test的情况就没这么简单了。
(Brain Test的运作原理)
在将Brain Test安装到手机以后,不管用户是否运行,该应用都会开始执行“时间炸弹(time bomb)”,20秒以后首次运行,并且每2小时运行一次。8小时以后,将设备数据上传至病毒作者服务器。病毒会检查当前所用Android设备是否已经root,如果还没有root,则从服务器上下载一组工具,一个个试,直到root为止。
所谓的root就是让系统最高权限下放给用户(或应用),和iOS的越狱是同一个道理。只有在越狱以后,病毒才能真正展开手脚去对系统服务和文件做修改。在root完成以后,该应用会从服务器下载一个名叫malicious.apk的安装文件(名字还真是露骨啊),并默默地安装,作为系统应用存在(运行起来叫com.android.music.helper,隐蔽性很好啊)。生成的两个进程(mcpef.apk与brother.apk),两者相互守望,两者都会监视对方是否被删除,只要任意一个被删除,其中一个就会即刻重新生成一个。而且他们会随手机启动而启动。
就以上几点就足够形成了病毒或木马的完全形态,包括具备隐蔽性的主进程,保护主进程的守护进程,还有在主进程停止以后负责重新生成主进程的程序(这里后两者是同一个),虽然相比Windows平台上的这一套病毒系统,Brain Test还显得比较稚嫩。可以想见,此后的Android强化版病毒都会在此基础上进化。
至于Brain Test究竟干了什么,就目前看来是建立rootkit,这样一来就能执行病毒作者期望在设备上执行的任意代码了,比如说用来显示广告(这好像是Brain Test的主要工作),甚至在感染的设备上部署其他例如盗取证书一类的特性。
(传说中,幽灵推波及的范围)
文章开头的时候说了,这次爆发的是两只病毒,到这里小编才要引出第二只,它叫Ghost Push(幽灵推)。Ghost Push在特性上相比Brain Test只是少了一步在Google应用商店上架的过程,也就是说它不是通过Google应用商店传播的,其余表现是基本相似的,包括首先想着如何把你的机子root了,随机启动,进程相互守望,不过它在破坏力度上更出色一些。
Ghost Push也是在今年8月份发现的,而且其感染源似乎是在中国。据说酷派大神手机在安装官方提供的系统升级包以后,手机被预装了几个未知应用,表现出感染特征。按照金山毒霸9月18日发布的分析报告,Ghost Push的感染速度是最高70万台/天。这理应是个大新闻,只可惜同期爆发了XcodeGhost。
其与众不同之处在于,它不像Brain Test那样是个独立的应用,而是将恶意代码注入合法应用,感染的应用如上图所示。随后在获得root权限后还有篡改系统文件的动作,并且守护进程甚至还能从服务器获取最新的病毒安装包(还有令用户无法卸载的动作执行,比Brain Test更高级一点)。破坏动作除了推送广告之外,还有推送应用静默安装,而且比较有趣的是推送广告过程中会首先关掉WiFi连接,通过手机流量获取需要推送的广告。
这两只病毒并没有显得特别具有破坏性,但显然相当顽固,如果没有逆向工程分析,即便是极有经验的用户也难以手动清除,除了病毒进程间相互守望、保证对方的存在性就已经很难卸载之,系统文件被篡改更是个非常麻烦的事情。当前很多反病毒应用都已经具备了将它们连根拔除的能力,但反病毒程序在查杀之前也需要获得root权限才行。
Android的碎片化影响了病毒的扩散
我们都说Android碎片化是致使该系统发展得一团乱,甚至导致流畅性始终做不好的元凶,但在这个场景下,Android的碎片化却又做到了制止病毒的扩散。由于不同手机制造商,尤其是国内的厂商,所推系统的差异,以及设备本身的差异,令Android平台上,类似Brain Test和Ghost Push这样的病毒很难大范围扩散。你看XcodeGhost在iOS平台,一下就感染上亿用户,这两只是没有这种魄力的,主因就是iOS的高度一致性;而且XcodeGhost是从开发者着手,这两只只是从用户终端着手,自然在传播速度上会存在差距。
单说一点,这两位的前提是对系统做root操作,但你知道这个世界上还有很多Android手机由于各种原因实在是root不了,那么这两只也只能望洋兴叹。Ghost Push的影响力之所以可以更大,是因为它极有针对性地面向部分国产手机施力,加上国内用户的基数,自然非Brain Test可比,虽然Ghost Push实际还扩散到了印度、美国、俄罗斯等地。
而且从破坏性的角度考虑,至少在它们被发现之前,它们的目标都只是推送广告和推送应用,还有浪费用户流量的行为,为病毒作者获得经济利益,这样的破坏性或许叫它们病毒有些过头,叫恶意程序是差不多的;而这也体现了它们与XcodeGhost的本质差异,即后者是只木马。
(为了安全,大家以后都别用图形用户界面吧...)
最后以小编多年来的经验,传授大家不感染病毒、恶意程序和木马的终极奥义,就是不要用iOS和Android。设备安全性是建立在基数的基础上的,用的人越多,自然就越不安全,从这个意义上来说,Windows Phone就要安全多了,而更安全的还有思科的iOS、IBM的AIX等等。这样的终极奥义一般人我不告诉他。
相关知识
谷歌来帮苹果解围了 解读Android史上最强悍病毒
史上最严新环保法来了 威慑涂料行业
“迟来的春天”到了:独栋别墅上演成交肉搏战
史上最炫舞台 金朝阳陶瓷携手歌神引爆三亚!
史上最薄的空调,里面到底藏了什么?
史上最严环保举措出台 云归谷呼吁大家为保卫蓝天而战
京东居家11.11盛装来袭 居家199-100史上最大优惠启动
史上最优惠京东618来袭,数不清的实惠让人后悔只长一双手
为解决高房价这几类人要惨了,史上最强控制要来了!
拖把扫把到底放哪儿好?史上最难的收纳问题终于有解了