WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Malware tìm cách qua mặt cơ chế kiểm soát an ninh trên Android 5.0 và 6.0
Một tuần sau khi thông tin mã độc Android sử dụng thuộc tính "target_sdk" để qua mặt các tính năng an ninh trên Android Marshmallow (6.0) được tiết lộ, một lần nữa, hai cách thức khác cũng được hacker sử dụng để vô hiệu hóa các tính năng phòng thủ của Android.
Cũng giống các vụ việc trước đây, thủ phạm là trojan ngân hàng Android.Bankosy và chương trình gian lận quảng cáo Android.Cepsohord. Hacker tạo ra chúng đang tìm trên GitHub các giải pháp để lấy được danh sách các tiến trình hoạt động (các nhiệm vụ đang chạy).
Đối với hacker, việc phân tích danh sách các nhiệm vụ rất quan trọng bởi nó cho phép hacker phát hiện các ứng dụng hiện có của người dùng và hiển thị lớp vỏ bọc lên trên để thu thập các thông tin đăng nhập.
Trước đó, hacker từng thực hiện hành vi này trên các phiên bản Android trước Lollipop (5.0) bằng việc gọi hàm API getRunningTasks (). Hàm này đã được gỡ bỏ khỏi Lollipop và các phiên bản tiếp đó.
Phương pháp 1: Đọc file hệ thống "/proc/"
Kỹ thuật đầu tiên được Symantec phát hiện, thuộc dự án AndroidProcesses GitHub do Jared Rummler thực hiện. Ứng dụng của Rummler không phải mã độc, nhưng tin tặc đã đánh cắp một số mã của ứng dụng và sử dụng để lấy danh sách các ứng dụng hiện tại.
Cách thức của Rummler dựa trên việc đọc file "/proc/" để liệt kê tất cả các tiến trình đang chạy. Người viết mã độc đọc ở đầu ra của tập tin này để tìm kiếm các ứng dụng hiện đang chạy trên foreground của điện thoại.
Symantec cho hay kỹ thuật này có tác dụng trên Android Lollipop và Marshmallow, nhưng không hiệu quả trên N snapshop.
Cách 2: Sử dụng API UsageStatsManager
Cách thức thứ hai cũng mượn từ dự án tương tự, nhưng là của GeeksOnSecurity, có tên Android Malware Example, một loại mã độc Android proof-of-concept.
Cách thức này sử dụng hàm API UsageStatsManager để lấy được danh sách các tiến trình đang chạy. API này cung cấp dữ liệu nêu chi tiết lịch sử sử dụng của thiết bị, bao gồm cả các ứng dụng đã sử dụng trước đó.
Symantec cho biết Android.Bankosy và Android.Cepsohord dùng hàm API này để truy vấn cho các ứng dụng được sử dụng trong hai giây trước đó và trên cơ sở đó xác định các ứng dụng đang chạy.
May mắn cho người dùng, API UsageStatsManager yêu cầu quyền đặc biệt để truy cập đầu ra của nó.
Để vượt qua rào cản này, hacker sử dụng một lớp phủ giả để yêu cầu sự cho phép, ngụy trang tên và biểu tượng của các ứng dụng, như Chrome. Hãng an ninh cũng cho biết, lớp phủ này có sử dụng mã được tìm thấy trong mã độc proof-of-concept GeeksOnSecurity. Theo Symantec, kỹ thuật này không có tác dụng trên các OEM Android nhất định, như Samsung.
Cũng giống các vụ việc trước đây, thủ phạm là trojan ngân hàng Android.Bankosy và chương trình gian lận quảng cáo Android.Cepsohord. Hacker tạo ra chúng đang tìm trên GitHub các giải pháp để lấy được danh sách các tiến trình hoạt động (các nhiệm vụ đang chạy).
Đối với hacker, việc phân tích danh sách các nhiệm vụ rất quan trọng bởi nó cho phép hacker phát hiện các ứng dụng hiện có của người dùng và hiển thị lớp vỏ bọc lên trên để thu thập các thông tin đăng nhập.
Trước đó, hacker từng thực hiện hành vi này trên các phiên bản Android trước Lollipop (5.0) bằng việc gọi hàm API getRunningTasks (). Hàm này đã được gỡ bỏ khỏi Lollipop và các phiên bản tiếp đó.
Phương pháp 1: Đọc file hệ thống "/proc/"
Kỹ thuật đầu tiên được Symantec phát hiện, thuộc dự án AndroidProcesses GitHub do Jared Rummler thực hiện. Ứng dụng của Rummler không phải mã độc, nhưng tin tặc đã đánh cắp một số mã của ứng dụng và sử dụng để lấy danh sách các ứng dụng hiện tại.
Cách thức của Rummler dựa trên việc đọc file "/proc/" để liệt kê tất cả các tiến trình đang chạy. Người viết mã độc đọc ở đầu ra của tập tin này để tìm kiếm các ứng dụng hiện đang chạy trên foreground của điện thoại.
Symantec cho hay kỹ thuật này có tác dụng trên Android Lollipop và Marshmallow, nhưng không hiệu quả trên N snapshop.
Cách 2: Sử dụng API UsageStatsManager
Cách thức thứ hai cũng mượn từ dự án tương tự, nhưng là của GeeksOnSecurity, có tên Android Malware Example, một loại mã độc Android proof-of-concept.
Cách thức này sử dụng hàm API UsageStatsManager để lấy được danh sách các tiến trình đang chạy. API này cung cấp dữ liệu nêu chi tiết lịch sử sử dụng của thiết bị, bao gồm cả các ứng dụng đã sử dụng trước đó.
Symantec cho biết Android.Bankosy và Android.Cepsohord dùng hàm API này để truy vấn cho các ứng dụng được sử dụng trong hai giây trước đó và trên cơ sở đó xác định các ứng dụng đang chạy.
May mắn cho người dùng, API UsageStatsManager yêu cầu quyền đặc biệt để truy cập đầu ra của nó.
Để vượt qua rào cản này, hacker sử dụng một lớp phủ giả để yêu cầu sự cho phép, ngụy trang tên và biểu tượng của các ứng dụng, như Chrome. Hãng an ninh cũng cho biết, lớp phủ này có sử dụng mã được tìm thấy trong mã độc proof-of-concept GeeksOnSecurity. Theo Symantec, kỹ thuật này không có tác dụng trên các OEM Android nhất định, như Samsung.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: