安卓新型恶意勒索软件–使用点击劫持获取root权限

google_eyi

该软件通过覆盖在设备管理员权限确认框上并劫持用户的点击

以Android设备为目标的文件加密勒索软件变得越来越有欺骗性。一种新型类似的程序使用点击劫持(clickjacking)技术来欺骗用户并获取管理员权限

点击劫持是一种允许攻击者通过劫持用户的点击并触发未授权的行为结合伪造用户界面进行攻击的方法。这种方法大多运用于Web攻击,攻击者通过各种各样的技术创建不可见的按钮并将其放置在看起来似乎无害的页面元素之上。

由于Android系统限制应用权限,以操作系统为目标的恶意勒索软件历史上一直比在Windows上使用无效。举例说明,许多早期的Android勒索软件仅仅是弹出一个固定的对话框来恐吓用户支付虚构的罚款。大部分模仿司法执法机构并声称该设备由于被发现不合法的内容而被上锁。

随着时间的推移,出现更多的有侵略性的也是加密存储分区的文件变异体并且更加难卸载。然而,这些变异体需要“设备管理员”权限。

当一个APP安装后要获得这个特性,需要从设备设备拥有者通过一个“激活设备管理”对话框获得确认。为了获得用户的信任,这些勒索软件通常使用社会工程学伪装成合法的app,比如通过声称为了正常使用他们提供的功能需要高权限的访问。

根据赛门铁克的研究人员表明,恶意勒索软件创建者已经将其带入下一级别。一个叫做Android.Lockdroid.E 的新威胁滥用安卓应用可以触发不同类型的的窗口。

一旦安装,Lockdroid.E勒索软件触发设备管理权限激活窗口,但是同时显示一个系统类型错误窗口(TYPE_SYSTEM_ERROR)附带一个而外的组件正在解压的消息。Android设备会在其他类型窗口之上显示这个特殊的窗口,因此覆盖了设备管理窗口。

过了几秒后,该app显示另一个使用系统覆盖类型(TYPE_SYSTEM_OVERLAY)窗口并且也覆盖设备管理员对话框。这第二个对话框包含消息”安装已经完成”和一个叫做”继续”的按钮。

这个”继续”按钮实际是假的,因为系统覆盖类型(TYPE_SYSTEM_OVERLAY)窗口并不是设计来接收用户界面的输入。但是,它完美地覆盖在设备管理员激活对话框的”确认”按钮之上。

因此,当用户点击”继续”,该触屏动作实际上被传输给下面的设备管理员激活窗口,也就是”确认”按钮。

从Android 5.0(Lollipop)开始,被这种勒索软件滥用的这两种类型的对话框不再显示在系统权限对话框比如设备管理员权限之上。然而,根据从Google Play最近的统计显示,坏消息是2/3的安卓设备仍旧在使用低于5.0的版本。

赛门铁克研究人员说 “Google Play中没有发现这种恶意app,可能是从第三方app应用商店,论坛或者种子站点下载的,安装了Google Play的用户即使是从谷歌应用商店外下载的时候都会通过应用验证手段来阻止这种恶意App。赛门铁克建议用户仅从受信任的应用商店下载app”

原文地址

发表评论

电子邮件地址不会被公开。

You must enable javascript to see captcha here!