Google 一直在努力改进自身系统,以防止用户受到潜在有害应用(PHA) 的侵害。PHA 程序设计者通常试图将其有害应用安装到尽可能多的设备上。但也有少数 PHA 程序设计者会花费大量精力、时间和金钱来开发只安装在一台或极少量设备上的有害应用。这称为针对性攻击。 什么是 Chrysaor? Chrysaor 是一种间谍软件,据信由NSO Group Technologies开发,这家公司专门从事针对性攻击用途软件和基础架构的开发和销售。Chrysaor 据说与 Pegasus 间谍软件有关,后者最先发现于 iOS 平台,Citizen Lab和Lookout对其进行过分析。 Chrysaor 的影响范围有多大? Chrysaor 从未在 Google Play 中发布,在 Google Play 之外的安装量也很少。据我们观察,在受到 “验证应用” 保护的逾 14 亿台设备中,只有不到 36 台受害设备安装了 Chrysaor。这些设备分布于以下国家/地区: 我们如何为您提供保护 为保护 Android 设备和用户,Google Play 提供了一整套在平台发布以外进行更新的安全服务。用户不必安装任何额外的安全服务就能确保设备的安全。在 2016 年,这些服务为逾 14 亿台设备提供了保护,这使 Google 跻身全球最大设备内置安全服务提供商之列:
此外,我们还提供详细的技术信息,以帮助安全行业与我们一起共同对抗 PHA。 我需要做什么? 您或您认识的人受到 Chrysaor 恶意软件影响的可能性极低。我们通过调查发现,受 Chrysaor 影响的设备不到 36 台,我们在这些设备上停用了 Chrysaor,并通知了所有已知受影响设备的用户。此外,我们还为所有使用我们安全服务的用户启用了改良版保护。 为确保全面防范 PHA 和其他威胁,我们建议您完成下面这 5 个基本步骤:
Chrysaor 是如何工作的? 我们认为,为了安装 Chrysaor,攻击者通过哄骗手段诱使其具体针对的个人将恶意软件下载到设备上。一旦安装了 Chrysaor,一名远程操作员就能通过充分利用麦克风、摄像头、数据收集以及对电话和短信等通信应用上的应用活动进行记录和追踪,对受害者在设备上以及设备附近的活动实施监视。
ade8bef0ac29fa363fc9afd958af0074478aef650adeb0318517b48bd996d5d5 安装后,该应用会利用已知的 framaroot 漏洞提升权限并破坏 Android 的应用沙盒。如果目标设备不容易受到这些漏洞攻击,则该应用会尝试使用预先放置在/system/csk的超级用户二进制文件来提升权限。
该应用采用六种方法来收集用户数据:
最后,该应用可通过三种方式自我卸载:
上传至 VirusTotal 的示例应用 为鼓励安全社区做进一步研究,我们已将这些示例 Chrysaor 应用上传至 Virus Total。
其他包含 Chrysaor 链接的摘要 其他包含 Chrysaor 链接的摘要 我们通过调查发现了其他一些与 Chrysaor 有关的应用。
Lookout 自行独立完成了对我们获得的示例应用的分析,您可以通过点击“阅读原文”查看详细的报告。 推荐阅读: |
注册
登录
