新的AndroRAT變種正在利用過期的Root漏洞伺機發起攻擊

Android Remote Access Tool的一個最新變種

近日趨勢科技檢測到Android Remote Access Tool（AndroRAT）的一個最新變種，研究人員已將其標識為ANDROIDOS_ANDRORAT.HRXC，該變種能夠注入存在設備中的root漏洞，然後執行惡意攻擊任務，如靜默安裝（silent installation），shell命令執行，WiFi密碼收集和屏幕截圖。這個AndroRAT的變種所針對的漏洞是CVE-2015-1805，這是一個在2016年公開披露的漏洞，屬高危漏洞，可用於提升許可權並在存在漏洞的設備上運行任意代碼，其實這個安全漏洞的年限已久，很早就在upstream Linux內核中被發現。

RAT攻擊一直以來都是Windows常見的威脅，所以它對於Android來說應該不會感到意外。就拿CVE-2015-1805來說吧，它雖然於2014年4月被修復。但不幸的是，人們低估了該漏洞的危害性，到2016年它重新被黑客利用，可以被用於攻擊Android操作系統。RAT通常是通過利用漏洞獲得設備的root許可權，然後控制整個操作系統。趨勢科技的研究人員早在2012年就發現，AndroRAT最初是一個在大學實驗室開發的項目，本意是要被開發成一個開源的客戶端或伺服器應用程序，可以提供對Android系統的遠程控制，這自然會吸引網路犯罪分子。

利用漏洞的惡意軟體代碼片段

AndroRAT的本次的新變種是將自己偽裝成一個名為TrashCleaner的惡意實用程序，它可能是通過惡意URL下載的。TrashCleaner第一次運行時，會提示Android設備安裝中文標記的計算器應用程序，類似於預安裝的系統計算器。同時，TrashCleaner圖標將從設備的用戶界面中消失，並在後台激活RAT。

惡意TrashCleaner的圖標

中文標記的計算器應用程序的圖標

可配置的RAT服務由遠程伺服器控制，這意味著攻擊者可能會發出遠程命令來實時觸發不同的惡意行為。當執行特權操作時，該變種就會激活所嵌入的root攻擊。這時它就會執行原始AndroRAT中的以下惡意操作：

1.錄製音頻；

2.使用設備的相機拍照；

3.竊取系統信息，如手機型號，號碼，IMEI等；

4.盜用連接到設備的WiFi名稱；

5.竊取通話記錄，包括來電和撥號記錄；

6.竊取移動網路的位置；

7.竊取GPS位置；

8.盜取設備上的通話記錄；

9.竊取設備上的文件；

10.竊取正在運行的應用程序列表；

11.從設備收件箱中竊取用戶存儲的簡訊；

12.監控用戶正在發送和接受的簡訊；

除了AndroRAT的原始功能外，本次變種還會執行新的特權操作：

1.竊取移動網路信息，存儲容量，是否有root漏洞；

2.竊取已安裝的應用程序列表；

3.從預先安裝的瀏覽器中竊取網頁瀏覽記錄；

4.竊取日曆事件；

5.竊取記錄通話；

6.向受害者設備上傳文件；

7.使用前置攝像頭拍攝高解析度照片；

8.刪除並發送偽造的簡訊；

9.屏幕截圖；

10.Shell命令執行；

11.竊取WiFi密碼

12.以靜默方式為擊鍵記錄器（key logger）啟用易訪問性服務（Accessibility Service）；

針對CVE-2015-1805發起攻擊

Google已於2016年3月對CVE-2015-1805進行了修補，但沒有進行升級或一些老舊的設備可能會受到此新AndroRAT變種的影響，但不幸的是目前仍有大量移動用戶仍在使用的Android舊版本，這些版本都可能仍然存在CVE-2015-1805。

緩解措施

用戶應避免從第三方應用程序商店下載應用程序，以免被AndroRAT之類的攻擊所威脅。當涉及到設備安全性時，用戶應該盡量從合法應用商店下載。另外，定期更新設備的操作系統和應用程序還可以降低被新漏洞攻擊所帶來的風險。

谷歌表示，這個載有新變種的惡意應用程序目前還從未在Google Play上發布，並且他們已將CVE-2015-1805的檢測納入其安全測試中。理想情況下，2016年4月之後啟動或更新的任何設備都不會受到影響。

IoCs

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！