号称“最强钉子户”：新型自我Root安卓广告应用

研究人员发现了几种新的安卓广告软件，它们非常难卸载，而且存在将手机root的风险。此外，它们还会伪装成不同的应用，如推特、Facebook、甚至Okta（某种双因子认证服务）等等。

三类木马化正常应用的广告

研究人员们已经发现了超过20000个木马化的应用样本，它们分别被三类广告应用Shedun、Shuanet、ShiftyBug所感染。黑客会将Google play的官方应用里的代码或者其他特性进行重打包，然后将这种木马化的应用发布到第三方市场。从用户的角度来看，修改后的程序看似一个合法的应用，而的确在许多情况下，它们会提供相同的功能和用户体验。但是在系统后台，它们会试图发起攻击，获取当前安卓系统的root访问权限。在那三类应用中研究人员发现的某些exp，可以让木马化的应用获得系统权限，而这个级别权限通常只会保留给系统级进程。

移动安全公司Lookout的研究人员，他在周三发布的一篇博文中写道：

“对普通人来说，感染上Shedun、Shuanet、ShiftyBug这三类恶意应用，意味着你得去商店换个新手机了。因为这些广告软件会将设备root，并把自己提升为系统级别应用，它们很难被清除，普通用户只能被迫更换新设备。”

广告应用危害分析

研究人员称这类应用多为广告应用，但鉴于它们获取了系统权限，是有能力威胁和破坏安卓安全机制的。安卓沙箱本来是不允许任何应用访问其他应用的密码和数据的。但是一旦他们如果获取了系统权限，就可以无视沙箱拦截。因此，它们可以越权读取，或者修改其他正常应用的数据和资源。

Lookout的研究人员表示：

“首先，我们想知道为什么有人会想到感染双因子认证应用来打广告，而忽视了窃取用户凭证的机会。然而，观察分发指令和控制服务器我们会发现，它们会重新打包如Google Play等一线应用市场里面的热门应用。奇怪的是，杀软并没有对它们进行查杀，这表明黑客创建这些软件时，是做了非常多的工作的。”

广告应用的广泛性和隐匿性

那些被重打包的应用会被上传到第三方网站，Lookout的研究人员发现它们大多数分布在美国、德国、伊朗、俄罗斯、印度、牙买加、苏丹、巴西、墨西哥和印度尼西亚。这份报告主要强调的是第三方市场具有风险，现在并未发现有木马化的应用进入Google Play。这种案例每年都会有，而在Lookout已经发现的应用案例里，大家尤其需要警惕。

在许多情况下，应用会结合多种root的exp，为特定类型的手机进行量身定做感染方案。比如ShiftyBug，就至少利用了八种root的exp：如Memexploit、 Framaroot、ExynosAbuse等等。其中许多root的exp都是公开的，用户自己就会用来合法root自己的设备。针对这种情形，此前我们曾报道过相关内容，即《合法应用开发者是如何威胁到整个安卓用户群的》。

Lookout的研究人员表示，现在还不清楚那感染20000多应用的三类广告软件系列，彼此之间到底有什么关系。但是可以肯定的是，它们肯定有过互相参照，因为其中至少有71%~82%代码是重复的。

小编结语

文中提到的广告软件借用了合法root工具，不会被某些杀软所查杀，其实这也是个普遍而有效的方案。就像某些拥有合法数字签名的恶意软件一样，有些杀软是不会查杀它们的，这个略类似于杀软加白名单的思路。