主页(http://www.175shouji.com):恶意软件可绕过安卓13安全新特征
8 月,谷歌正式发布了安卓 13 系统,其中引入了新的安全特征,尝试拦截恶意软件请求安卓权限来在后台执行恶意、隐蔽行为,比如 AccessibilityService 这样功能强大的安卓权限。近日,Threat Fabric 研究人员发现已有安卓恶意软件尝试绕过这些限制,并在用户设备上释放具有高权限的 payload。
安卓 13 安全
在之前的安卓版本中,大多数移动恶意软件通过应用商店中的释放 APP(伪装为合法应用 APP)隐藏在数百万手机设备中。在安装过程中,恶意软件 APP 会要求用户授权有风险的权限,然后滥用 Accessibility 服务权限来释放恶意 payload。
Accessibility 服务是被滥用最多的,可以使 APP 执行点击、返回、返回 home 等操作。而这些是不需要用户授权的,用户甚至都不知道这些动作的发生。
一般来说,恶意软件会滥用该服务授予其一些额外的权限,并防止受害者手动删除恶意 APP。
在安卓 13 系统中,谷歌引入了 'Restricted setting' 特征,可以拦截侧加载的应用请求 Accessibility 服务权限,将该功能限制为谷歌应用商店中的 apk。
但 ThreatFabric 安全研究人员创建了一个 PoC 释放器可以很容易地绕过该安全特征,并获得 Accessibility 服务权限。
绕过安卓 13 restricted setting 特征
绕过安卓 restricted setting
ThreatFabric 研究人员近日发现一款安卓恶意软件释放器,其中添加了绕过安卓 13 Restricted setting 安全特征的新功能。该释放器名为 "BugDrop",功能仍然存在很多漏洞,因此推断该释放器仍处于开发阶段。
该释放器的特征代码与 Brox 类似,但是在安装器函数中对字符串做了修改。吸引研究人员的是其中的字符串 "com.example.android.apis.content.SESSION_API_PACKAGE_INSTALLED",这并不在原始的 Brox 代码中。字符串对应的是 intent 要求创建安装过程的动作。
调用基于会话的安装的字符串
第三方有 2 种方法来安装其他 APP。第一种也是最常见的是非会话的安装方法,即通过 apk 文件的方式进行安装。第二个是基于 session 的安装方法,即一次安装多个 apk 文件。比如,一个 apk 文件有多个语言版本,每个语言版本对应一个 apk 文件。
在安卓 13 系统中,谷歌限制了 Accessibility Service 和 Notification Listener 两个高权限 API 的访问权限,将其限制为仅允许使用基于会话的安装方法的 APP。通过基于会话的安装方法侧加载的 APP 不会看到 "Restricted Setting" 弹窗,因此用户可以启用 Accessibility Service 和 Notification Listener。
像 BugDrop 这种基于 session 的安装方法的恶意软件释放器可以侧加载恶意软件 payload,安卓 13 系统不会对其使用 API 进行限制。
Hadoken 黑客组织
BugDrop 是由 Hadoken 黑客组织开发的,该黑客组织还开发了 Gymdrop 释放器和 Xenomorph 安卓银行木马。从目前 BugDrop 的开发状态判断其仍处于开发中,未来在部署时可能会会用于 Xenomorph 攻击活动中。
更多技术细节参见:https://www.threatfabric.com/blogs/bugdrop-new-dropper-bypassing-google-security-measures.html
