2013年7月CNCERT主办的国家信息安全漏洞共享平台(CNVD)收录了Android操作系统存在一个签名验证绕过的高危漏洞(编号:CNVD-2013-28152),并将该漏洞信息在通信行业内进行通报。
7月下旬,利用该签名漏洞的Skullkey扣费木马犹如“寄生虫”般寄生于正常APP中并开始疯狂传播。CNCERT监测发现在第三方应用市场“安丰市场”中存在6644个利用签名漏洞被植入Skullkey扣费木马的恶意APP。
签名漏洞利用成本低,危害性大
利用该签名漏洞,黑客可以在不破坏正常APP程序和签名证书的情况下,向正常APP中植入恶意程序,一方面利用正常APP的签名证书逃避Android系统签名验证,另一方面能够在运行时执行被植入的恶意程序。
由于无需对正常APP进行修改,利用该签名漏洞向正常APP中植入恶意程序的成本非常低。此外,利用该签名漏洞的恶意APP具有很强的危害性和隐藏性,终端防护软件无法通过签名来检验程序的安全性。“寄生”在正常APP中的恶意程序可以轻松绕过终端防护软件,在用户终端后台执行各种恶意行为,造成用户隐私信息泄露、恶意扣费等严重危害。
利用签名漏洞,正版APP被植入扣费木马Skullkey
CNCERT在捕获Skullkey扣费木马后,对该木马进行了全面分析,并依据通信行业标准YD/T 2439-2012《移动互联网恶意程序描述格式》判鉴定该手机木马属于“恶意扣费”类恶意程序,将其归入A.Payment. Skullkey恶意代码家族中。
Skullkey扣费木马利用Android操作系统签名漏洞,向正常APP中植入恶意程序,在用户不知情的情况下,通过后台发送扣费短信,并屏蔽回执短信。此外,该木马还可以在后台读取手机中的通讯录信息,同时具备向联系人发送广告或欺诈短信的权限。
第三方“安丰市场”成为“恶意传播源”
CNCERT监测发现在第三方应用市场“安丰市场”中存在6644个由于Android操作系统签名漏洞被植入Skullkey扣费木马的恶意APP,按照功能分布如下:
种类 | 比例 |
|---|---|
游戏类 | 44% |
工具类 | 24% |
社交类 | 11% |
其他 | 21% |
为了提高恶意APP的下载量,黑客会优先选择向热门APP中植入Skullkey扣费木马。在以上6644个恶意APP中,许多APP都为热门APP:
1. 工具类APP:新浪微博,腾讯QQ,搜狐新闻客户端,UC浏览器,优酷视频,土豆视频,CCTV客户端等;
2. 经济类APP:农业银行手机客户端,兴业银行手机客户端,支付宝,淘宝,苏宁易购等;
3. 安全类APP:腾讯手机管家,360手机卫士,安全管家,LBE手机安全大师,赛门铁克,网秦,金山毒霸等。
可以看出,经济类APP和安全类APP逐渐成为黑客入侵的新目标。根据“安丰市场”网站的下载次数统计显示,这些恶意APP的累计下载总次数已超过200万次。
CNCERT在监测发现“安丰市场”中存在6644个的被植入Skullkey扣费木马的恶意APP后,第一时间通知该应用商店下架所有6644个恶意APP,并彻底删除相应的APP下载链接。同时,CNCERT将6644个恶意APP信息和相应URL下载链接通过中国反网络病毒联盟向全社会进行黑名单发布。
