DroidDream尸检:Android恶意软件攻击的剖析

DroidDream入侵Android Market仍使Android世界感到困惑。

安卓世界依旧从 DroidDream入侵Android市场 。谷歌已经取消了杀戮开关,以消灭与DroidDream相关的应用程序,但是调查此Android Trojan如何渗透到Google以及将来如何防止类似攻击的工作才刚刚开始。

小心一家拥有保护Android智能手机工具的移动安全公司, 努力探索DroidDream应用程序 找出导致该恶意软件滴答作响的原因。首先,DroidDream是一种木马攻击,它隐藏在看似合法的应用程序中。是什么让它 比其他Android木马更阴险 是DroidDream设法阻止了进入实际Android Market的方式。让我们分解一下有关此威胁的其他信息:

•恶意软件之所以得名,是因为该恶意软件旨在仅在Android智能手机所有者处于睡眠状态时运行-表面上是在做梦。 DroidDream配置为在晚上11点至早上8点之间执行脏工作。

•DroidDream依靠两个已知的漏洞-exploid和rageagainstcage-来突破Android安全沙箱。具有讽刺意味的是,这两个目标漏洞均已在Android 2.3“姜饼”中修复。在这种情况下,Android的碎片化被证明是致命弱点,因为-尽管 姜饼已经上市了几个月 - 少于 所有Android智能手机的百分之一 已收到更新。 安卓用户受各个智能手机供应商的支配,无法为其特定的智能手机型号部署Android OS更新。

• 一旦 安卓智能手机扎根,DroidDream搜索名为“ com.android.providers.downloadsmanager”的特定程序包。如果找不到该软件包,则DroidDream会在用户不知情的情况下静默安装第二个恶意应用程序。可以从DroidDream命令和控制服务器秘密安装其他恶意应用程序。

•DroidDream将各种信息从智能手机发送到远程命令和控制中心,包括:IMEI,IMSI,设备型号,SDK版本,语言,国家和用户ID。

小心发现,DroidDream是功能强大的僵尸代理,可以静默安装任何应用程序并随意以root特权执行代码。根据Lookout的说法,DroidDream也是第一个使用漏洞利用程序获得root权限并承担对受感染智能手机的几乎无限控制的Android恶意软件。

不过,房间里的大象是DroidDream利用已经发现并修复的漏洞,但仍有99%的Android用户暴露,因为他们的智能手机尚未适应Gingerbread的更新。

版权© 2011 IDG通讯,Inc.