手機預裝惡意軟體威脅分析

研究人員有一個大膽的想法，在你新買手機設備時的必須安裝系統應用APP中，可能預裝了惡意軟體。然而事實證明，這並不只是一個大膽的想法，預裝的手機惡意軟體已經成為了未來主要威脅之一。

過去我們在Adups威脅中就遇到過預裝的惡意軟體（2016年11月，Adups被指向Android設備預裝後門，私自收集簡訊和聯繫人等；但是刪除這些預裝軟體可能需要ROOT許可權）。預裝（Pre-installed）意味著惡意軟體是以SYSTEM級許可權安裝在設備上的，因此無法移除，只能禁用。但完全解決預裝惡意軟體只能通過work-around為當前用戶卸載應用程序來實現。該方法包含使用ADB命令行工具將手機設備連接到PC，具體過程參見https://forums.malwarebytes.com/topic/216616-removal-instructions-for-adups/。

雖然該方法有點複雜，但是可以解決預裝惡意軟體的問題，但是解決新版本的預裝惡意軟體就變得更加困難。惡意軟體作者開始對那些設備運行所必須的系統APP下手了。通過將惡意代碼注入到這些必要的APP中，攻擊者就重塑了整個預裝惡意軟體的威脅圖譜。

預裝的應用類型

根據APP在設備上的位置不同，可以將預裝的APP分為兩類。同時所在的位置也決定了APP的重要程度。

第一個位置是/system/app/。位於/system/app/的APP對設備運行來說並不是非常重要。一般照相機、藍牙、FM廣播、照片查看相關功能的程序安裝在這個位置。這也是設備製造商緩存預裝軟體的位置。卸載這些APP可能會降低用戶體驗，但並不會影響設備正常運行。

另一個位置是/system/priv-app/。位於這個位置的APP就相對比較重要啦。比如系統設置、系統UI這樣的APP就保存在這個位置。換句話說，無法在不影響設備使用的情況下卸載這些APP。但是最新的預裝惡意軟體的模板位置都是/system/priv-app/。

案例研究

案例1：System UI中的Riskware auto installer

設備型號是THL T9 Pro，固件是Android/PUP.Riskware.Autoins.Fota.INS。雖然代碼與已知的預裝惡意軟體Adups非常相似，但這次注入在重要的系統APP System UI中了，而不是以單獨的APP出現。感染後還會安裝Android/Trojan.HiddenAds的變種，因此很頭疼。目前還不清楚是Adups自己更新的攻擊方式，還是代碼被其他攻擊者竊取了。

案例2：Monitor系統設置

設備型號是UTOK Q55，感染的是Android/Monitor.Pipe.Settings。Monitor是PUP（Potentially Unwanted Programs）的子集，會從用戶設備中收集和報告隱私信息。但是Monitor app被硬編碼在重要的設置APP中，因此卸載這些APP需要下載設置應用程序。

修復

目前還沒有完美的修復方案。但研究人員提出一些指南和方法。如果有純凈版的系統APP來替換惡意版，那麼可以嘗試進行替換。首先要尋找與設備安卓OS版本匹配的系統APP，然後使用下面的方法：

參考Adups的移除指南：https://forums.malwarebytes.com/topic/216616-removal-instructions-for-adups/

保存要替換的系統APP的安裝路徑；

在PC上下載一個純凈版的系統APP;可以將下載的APP上傳到VirusTotal來決定它是否純凈；

將系統APP從PC移動到手機設備上：

adb push

/sdcard/Download/

下載老版本的惡意系統APP:

adb shell pm uninstall -k –user 0

安裝新版本的系統APP：

adb shell pm install -r –user 0 /sdcard/Download/

查看是否工作：

常見的錯誤情況

[INSTALL_FAILED_VERSION_DOWNGRADE]

[INSTALL_FAILED_UPDATE_INCOMPATIBLE][INSTALL_FAILED_OLDER_SDK]

如果新版本系統APP安裝失敗，可以回退到老版本的系統APP:

adb shell pm install -r –user 0

預防方法

目前應對感染最好的方法就是：不要使用存在風險的設備。研究人員測試發現以下型號的設備已經被證明會受到影響：

·THL T9 Pro

·UTOK Q55

·BLU Studio G2 HD

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！