XcodeGhost之Android平台防范

  1. 概述
    2015年9月的XcodeGhost事件引发了社会的广泛关注,其危害范围之大、造成影响之恶劣,对移动安全领域带来了巨大的冲击。攻击者篡改了开发OS X和iOS应用的集成开发工具Xcode,在其中加入了恶意代码,开发者通过恶意版本Xcode编译出的App会被恶意代码感染,实施多种恶意行为。除此之外,一些常用的知名第三方工具库例如Unity3D、cocos2dx也被类似的方式感染上恶意代码,使用这类工具库开发的App中也会存在恶意行为。
    目前此类攻击只被检测出存在于OS X和iOS平台上。即便如此,我们认为类似的攻击可能会出现在Android或其他平台上,很有必要对Android平台的代码安全进行预警。为此,我们使用MassVetwww.appomicsec.com-Android平台Malware检测工具,辅助分析了使用了第三方工具库Unity的Android app。
  2. 样本信息
    Name: com.BlackyGames.unFireworksMaster_25048300_0.apk
    MD5: 22a21cd4529e4fc6455450f8330e4c69
    Size: 17538639 bytes
  3. 样本简析
    我们对此app中使用的Unity工具库进行了分析。
    (1) UnityPlayerActivity.smali
    Unity工具库的主功能类,在Activity启动(onCreate)时,初始化另一个类Lnet/pushad/ad/poster/AppPosterManager。

    (2) UnityPlayerProxyActivity.smali
    在Activity的onResume回调函数中,也会初始化Lnet/pushad/ad/poster/AppPosterManager。

    (3) AppPosterManager.smali
    在net/pushad/ad/poster/AppPosterManager的初始化函数中,调用AppPosterManager的内部类LoadUserInfo,执行异步任务。

    此异步任务中,获取用户信息,并且最终通过网络发送出去。
  4. 总结
    通过分析发现,样本app所使用的Unity工具库不是官方版本,而是被嵌入了其他代码的非官方版本。非官方版本会导致用户的隐私数据在用户不知情的情况下通过网络传出,行为十分可疑。
    我们的研究成果Massvet能够快速有效地检测出此类在知名、流行的载体中添加恶意代码的攻击。可以通过www.appomicsec.com访问MassVet检测app,防范Android平台上的“Ghost”攻击。
  5. 关于我们
    Blog地址:http://www.systemsecurityblog.org/
    我们是来自印第安纳大学、中国科学院信息工程研究所等科研机构,一群骨子里追求创新的系统安全研究人员。这里集齐了众多专业人士、爱好者、创新者。我们将在这里分享我们的好想法与新发现。