黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

大东话安全:手机里的手电筒是怎么泄露你的小秘密的

2018-5-15 01:58| 投稿: xiaotiger |来自: 互联网

摘要: 编者按:网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,以《安天威胁通缉令2016扑克牌》为线索,一张扑克牌对应一个网络病毒,讲述54个不同的网络病毒和网 ...

编者按:网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,以《安天威胁通缉令2016扑克牌》为线索,一张扑克牌对应一个网络病毒,讲述54个不同的网络病毒和网络安全故事,以及如何进行针对性防御的建议。

一、小剧场

长老木马:今木马猖獗,天下纷争,网安累卵之危,Android 有倒悬之急,你若放弃抵抗,岂不美哉?

网安卫士:住口!我从未见过有如此厚颜无耻之马!

二、病毒通缉令

小白:(盯)这只怪物,恶心的长相中透露着一丝搞笑。

大东:怎么搞笑法?

小白:噗嗤——你看它左右两只小短手,哈哈哈,能打到谁呢,只能干瞪着眼睛,哈哈哈哈~~~

大东:那是你还不懂它的厉害。它叫 FakeDebuggerd,俗称“长老木马”,其主要特征是会替换系统的 debuggerd 可执行文件。运行时会联网获取指令,执行释放安装恶意资源文件到系统目录、私自下载静默安装等。

小白:嗯,果然是“长老”,坏事也做得如此老练。先前在下多有冒犯,失敬失敬!大东老师您请继续!

大东:小样儿~

三、手机里的长老

小白:最近我的手机有毒。

大东:怎么啦,你的手机不应该是日常有毒么,这次又是什么新的问题了?

小白:我的手机最近不知道出了什么问题,总在夜晚自动安装手电筒和日历两个软件。我百度一下后,发现有好多网友都遇到了被强装手电筒与日历应用的问题。

疯狂的手电筒

大东:不用想了,你那手机肯定是中毒了,正常的手机哪里会出现这样的问题。

小白:怎么办~手动害怕~~试了好多办法都没能解决,把手机都重置了,还是没用。

大东:嗯,重置都没办法消除,你肯定是中了那款木马了。

小白:大东东你倒是说明白,哪款啊?

大东:这个木马的名字叫“长老木马”。

小白:Exm?长老?怪不得这么厉害,原来武林高手啊。

大东:你还能笑得出来。不是遇见了我,你这辈子都删不掉手机里的手电筒和日历了。

小白:嘿嘿~人艰不拆~~

  • 这个长老有毒

大东:长老木马是 Android 平台上比较有名的一个木马家族,有许多变种,但是所有的变种都有一个主要的特征就是替换系统中的 debuggerd 可执行文件。

小白:debuggerd 是啥?

大东:debuggerd 是安卓系统的一个进程,该进程可以侦测程序崩溃并将收集到的数据收集起来供开发人员调试使用。

小白:这怎么就被盯上了呢?

大东:debuggerd 是安卓系统的原生服务,本身就是一个开机启动的进程,木马借此不必做其他修改便可实现自启动,这样的话整个木马的行为就会变得更加隐蔽。

木马的结构图

小白:原来如此~

大东:该木马 FakeDebuggerd 加密所有字符串,回写时修复文件创建时间,即使木马 apk 被发现,也不能通过在目录中暴力搜索字符串来找到作恶的源头/system/bin/debuggerd。

小白:啥啥啥?这些都是个啥?

大东:木马本体被高度加密,能对抗静态分析,在运行后会将 debuggerd 文件的创建时间恢复到初始时间,隐蔽性极强。

长老木马加密

小白:真是太可恶了!不过好在这个木马只会装装手电筒之类~并不会搞大事情~

大东:那你就 too naive 了。

  • 这个长老事挺多

小白:难道除了手电筒和日历,这木马还能搞别的事儿?

大东:要是长老只会做这也不配叫长老了。

小白:那它还能干些啥呢?

大东:这个木马在启动以后会创建一个线程,对本地的端口进行监听,然后再创建一个线程处理接收到的指令。

小白:什么什么线程、端口,这又是啥?

大东:线程是程序执行的最小单元,而端口则是设备与外界通讯交流的出口。木马的这个动作,你可以理解为木马已经完成初始化,准备开始搞事情了。

小白:噢~怎么搞法?

大东:木马的指令主要有四种,都是针对窃取用户隐私数据而设计的。像是QQ啊,微信啊,啥有隐私它就偷啥。

长老木马盗取微信聊天记录

小白:好可怕!主流的社交应用都通吃啊!

大东:没错。窃取到的信息之后会被上传至木马操纵者制指定的服务器,而获取了隐私信息后,木马操纵者可以进一步利用,执行恶意行为。

小白:我的天!那受害者多么?

大东:据360安全中心后台统计分析,截止到2015年11月,第四代长老木马的总感染量已经超过了80万,且影响的手机用户机型和系统非常的广泛。

长老四代感染数量

长老木马感染机型分布

  • 将长老拒之门外

小白:那怎么样才能防止长老入驻手机呢?

大东:该木马并不随着 ROM 传染,而是由软件安装包 APK 释放的。

小白:ROM?

大东:你可以理解为刷机包。

小白:所以,猫腻在安装包里?

大东:嗯,通过安装包安装的软件在运行时会释放 seed.jar文件,这个文件就是木马的主体。

seed.jar 的运行流程图

小白:都是套路啊!

大东:seed.jar 主要通过伪装成常用软件与网页广告进行传播,所以预防这个木马最好的方法就是不要安装来路不明的安装包,如果需要下载软件,就尽量在官方网站下载。

小白:知道了,记住了,不会犯了。

四、小白内心说

大东:小白,听完这个 FakeDebuggerd,你能想到啥别的吗?

小白:这位“长老木马”,会替换系统的 debuggerd 可执行文件,运行时会联网获取指令,执行释放安装恶意资源文件到系统目录,私自下载静默安装。说起来就是以为能够悄咪咪干事儿的老人家~

大东:没错,所以还是要提醒你到官网下载软件啊。

小白:我控制不住我记己啊~官方网站的版本好低。

大东:你还能下到比官方版本更高的软件?你真行啊。另外还有一点,在浏览网站的时候不要轻信网站的小广告,指不定就会给你来这么一下。

小白:大东东放心,小广告飞得那么块,我想点也点不着呢~

五、话说漫威

大东:小白,你觉得在漫威世界中……

小白:有谁跟这位长老很像?

大东:哈哈,咱们小白学会抢话咯。

小白:嘿嘿,我不知道,还是大东东你说吧。

大东:在漫威漫画里,艾丽卡(Elektra)拥有顶级人类体能,是各方面的武术专才,能进行低程度的精神感应。

小白:噢~没听过这号人物,长啥样呢~~

大东:诺,就是她。

艾丽卡


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部