摘要:总部位于旧金山的移动安全公司Lookout近日将在Android平台发现的广告软件标记为“特洛伊广告木马”,设备感染之后就会使用各种漏洞进行root,在获得更高权限之后会继续自我安装。今年9月中旬猎豹移动公司首次发现了GhostPush(Shedun);随后FireEye发现了Kemoge(ShiftyBug),而现在Lookout发现的则是第三个恶意程序变种,他们将其命名为Shuanet。

通过对这三款衍生恶意程序代码的分析,安全研究人员发现Shuanet和GhostPush和Kemoge的的代码相似度分别达到了71%和82%。除了共享的代码技术之外,这三款恶意程序都使用了三个通用漏洞来root Android设备,分别为Memexploit, Framaroot和ExynosAbuse。尽管这三个恶意程序的源代码非常相似,但是Lookout并不认为都是同一个恶意程序团队所为。

Shuanet的工作方式和此前两款恶意程序非常相似,首先攻击者从Google Play商城上下载多款热门的应用程序,重新编译增加Shuanet恶意程序,随后将其上传到其他Android应用商城,而且显然不会被任何安全扫描技术发现。Lookout团队表示目前已经有超过2万款Android应用感染,目前受影响国家主要有美国、德国、伊朗、俄罗斯、印度、牙买加、苏丹、巴西、墨西哥和印度尼西亚。