数百万安卓设备 被预装危险的Chamois恶意软件
- A
日前,谷歌安全团队的研究人员发现安卓智能手机上被预装了Chamois恶意软件,涉及的安卓设备更是高达百万台。
尽管谷歌安全团队方面此次并未透露被波及的手机品牌,但从攻击范围来看,可能会影响到安卓的开源项目 AOSP。
由于安卓本身是一款开源的移动操作系统,很多手机厂商所搭载的操作系统都是在 AOSP的技术上优化升级而来的。
因此,只要有黑客抓住这一契机,通过与设备制造商合作在安卓设备上预装恶意软件,就有可能造成用户利益受损。
往小说这些恶意软件会在后台自动下载其他恶意软件或是产出广告欺诈,往大说黑客可能通过此渠入侵用户的设备。
比如Chamois和Triada恶意软件就是典型代表之一,只不过Triada 是恶意软件的旧版本,可以显示广告和安装应用。
而Chamois恶意软件可以产生各种风格的广告欺诈并自动安装后台应用程序、下载插件甚至可以发送高价文本信息。
谷歌发现,代号为岩羚羊的Chamois恶意软件已经被安装在了740 万台设备上,主要涉及高级短信欺诈的点击欺诈。
而所谓的高级短信欺诈是指自动发送订阅短信进行恶意扣费,甚至是监听用户短信窃取验证码来进行账户金额盗取。
岩羚羊Chamois恶意软件之所以能被大量安卓设备制造商预装,原因是开发公司将其包装为能显示各种广告的组件。
设备制造商可以获得开发公司的分成,因而可以继续从用户手里赚钱,他们甚至不清楚这些广告组件存在恶意行为。
正因如此,岩羚羊Chamois恶意软件通过广告组件进行加载,同时安装雪狐木马病毒,直到用户的设备被完全接管。
在监测到异常后,谷歌安全团队利用谷歌商店的防护程序对木马做了禁用,然后通知相关设备制造商发布新版镜像。
相关设备制造商向谷歌重新提交固件并获得认证后,向受到影响的 600万台设备推送更新,直到所有设备修复漏洞。
从某种程序上来说,这些厂商或许确实不是故意为之的,但其做法确实起到了帮助不法分子向用户设备投毒的目的。
毕竟犯罪分子只要说服设备制造商使用自己的恶意组件,就能借助其力量将这些恶意软件轻松分发给千上万的用户。
这样做确实比说服数万名用户直接下载受感染的文件要方便快捷的多,这就是谷歌需要审查和分析厂商固件的原因。
尽管谷歌也会对部分厂商所制作的系统镜像进行审查,却依旧无法完全阻止厂商在通过审查后,再去修改预装软件。
目前全球还有超两百家设备制造商一直都在违反谷歌制定的测试规则,导致恶意软件随时可能向设备发起远程攻击。
所以问题并不是出在谷歌的安卓系统上,而是这些如同猪一样的队友的设备制造商身上,收了设备钱还要收广告钱。
需要注意的是,谷歌曾于 2017 年03月时捣毁过Chamois恶意软件家族,但目前看来,这款恶意软件正在卷土重来。
这款恶意软件具备强大功能,能在不同阶段使用不同文件格式进行执行,且能通过模糊化和反分析技术来规避检测。
当然笔者更愿意相信这样的事件是发生在国外安卓设备制造商或者国内山寨机制造商,毕竟国内巨头只会得不偿失。
