安卓斗篷与匕首病毒来袭:可完全获得设备控制权

近日，安全研究人员发现一种新型的攻击手段 Cloak and Dagger（“斗篷与匕首”），可以允许黑客完全控制任意版本的Android设备，其中也包括最新版的7.1.2以下的任意版本，然后达到窃取私人敏感数据的目的，其中包括用户击键和聊天记录、设备的PIN码、OTP动态口令、通讯录中的联系人信息、甚至是在线账户的密码！

不过，经研究发现，该攻击方式并非是通过Android系统中的任何漏洞进行攻击的，而是依赖于Android UI处理某些权限的方式取得Adroid系统内部使用权限，广泛使用的合法权限来访问Android设备上的某些功能。

据了解， Cloak and Dagger 主要利用了安卓生态系统中的以下两项基本权限：

SYSTEM_ALERT_WINDOW（“draw on top”）：合法覆盖功能，允许应用程序在Android设备屏幕上覆盖其他应用程序。

BIND_ACCESSIBILITY_SERVICE（“a11y”）：帮助残障人士与视力受损的用户通过语音命令输入信息或使用屏幕阅读功能收听事件内容。

我们知道，一般情况下恶意软件需要通过某种形式和用户完成互动才能达成感染设备的目的，常见的攻击方式包括：点击钓鱼链接、安装不明来源软件等，但 Cloak and Dagger 却能够做到用户基本上没有什么意识的情况下直接接管Android系统手机的目的，然后监视设备上的一举一动。

这样的一种攻击方式，在之前的案例中实属少见，其毋须使用任何的恶意代码来执行木马程序，因此黑客很容易利用现有公开的资源进行开发并提交恶意应用程序，然后提交到谷歌应用商店等待鱼儿上钩。

很显然，通过这种方式制作的恶意软件能够最大程度的避开Google Paly的检查，如果一个应用程序是谷歌的Play商店下载下来，那么这两种病毒会自动授予手机权限，黑客可以轻松的窃取用户的密码和PIN。

而且，黑客可以结合这两种病毒，在用户的手机里静默安装一个“神模式”应用程序，安全研究人员实验后发现，经过对20名受害者进行了测试，并没有人意识到发生了什么，而且这一程序可以获得手机的全部权限，包括用户的信息、用户击键行为、联系人甚至是银行卡密码等！

虽然，研究人员已经向谷歌方面披露了这一攻击手段，但由于这一问题源自Android操作系统的设计缺陷，而且牵涉到多个合法应用权限，因此这一问题暂时不会被官方修复。

因此，笔者建议，请大家在该问题未修复之前尽量避免安装新的应用，如果非要安装的话，请务必不要下载安装那些来历不明的应用软件，并下载或使用手机端杀毒软件，留意系统中的应用权限状态，防止遭遇病毒入侵！