freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Tekya恶意软件混入Google Play
2020-04-23 13:00:07

Google采取多种措施保护其应用商店并阻止恶意软件进入,但黑客仍在寻找渗透应用商店和访问用户设备的方法。数百万手机用户无意间下载了恶意应用程序,这些应用程序可以访问用户数据,凭据,电子邮件,文本消息和地理位置。例如,在2020年2月,Haken恶意软件家族通过8种不同的恶意应用安装在50,000多台Android设备中。

近期Check Point的研究人员发现了一个新的恶意软件家族“Tekya”,该家族可在56个应用程序中运行,已在全球范围内下载了近100万次。恶意软件模仿用户的操作,点击来自Google AdMob,AppLovin,Facebook和Unity等机构的广告和横幅。恶意应用程序中有二十四款针对儿童(从拼图到赛车游戏),其余为实用程序(例如烹饪应用程序,计算器,下载器,翻译器等)。

综述

Tekya恶意软件进行了代码混淆,避免被Google Play Protect检测,并利用Android中的“ MotionEvent”机制(于2019年推出)来模仿用户的操作点击。VirusTotal和Google Play Protect未检测到Tekya恶意软件家族,可从Google Play下载相关的56个应用程序。

恶意软件克隆了合法应用程序来吸引用户,其中大多数是儿童,因为Tekya恶意软件大多数是儿童游戏,目前这些应用程序已全部从Google Play中删除。但是,这再次凸显了Google Play商店仍然可以托管恶意应用。商店提供了将近300万个应用程序,每天有数百个新应用程序上传,很难检查每个应用程序是否安全。用户不能仅依靠Google Play的安全措施来确保下载软件的安全性。

下面为恶意应用程序示例,全部恶意软件列表见附录:

技术分析

从Google Play安装此应用程序后,将执行以下多项操作:

“BOOT_COMPLETED”允许设备启动时运行代码

“USER_PRESENT”检测用户何时正在使用设备

“QUICKBOOT_POWERON”允许设备重启后运行代码

接收器在.apk文件中的libraries文件夹加载本地“ libtekya.so”文件。

在“ Tekya”库的构造函数中,创建“ Validator”对象列表。

在每个“ Validator”中都会有调用方法运行来自本地库“ libtekya.so”的内部函数。“ AdmobValidator”调用c函数,然后运行z函数,该函数又从本机库中调用“ zzdtxq”函数。

在“ libtekya.so”库中,Validator调用的函数负责多种操作:

“ffnrsv”负责解析配置文件

“getWindow”和“getDecorView”获取所需的句柄

“ sub_AB2C”负责处理上述功能的结果

最后“ sub_AB2C”创建并调度触摸事件,通过“ MotionEvent”模仿点击:

VirusTotal对恶意软件测试结果:

如何防护

如果怀疑自己的设备上装有这些恶意应用程序之一,请执行以下操作:

从设备上卸载恶意应用程序

安装安全解决方案以防止感染

将操作系统和应用程序更新到最新版本

附录

*参考来源:checkpoint,由Kriston编译,转载请注明来自FreeBuf.COM

# Google Play # Tekya
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者