Google 于其资安部落格发表警告,提到他们侦测到称为 Tizi 的资安后门,攻击者会借此取得装置的 Root 权限,并窃取使用者于热门社交 App 的机密资料,由于这些遭篡改的 App 大多借由第三方市集流传,因此 Google 也建议使用者尽量透过 Google Play 取得 App。
多款热门社交 App 遭毒手
根据 Google 提供的资料,Tizi 是个 Android 装置上的后门,它不但具有完整功能,还会主动于装置上安装恶意程式,并窃取使用者的机密资料。
Google Play Protect 的资安团队于 2017 年 9 月在扫描具有能力将装置 Root 的 App 过程,发现了 Tizi 家族恶意程式,并在持续追踪后发现最早的成员出现于 2015 年 10 月,Tizi 的开发者甚至还设立网站或是透过社群媒体,鼓励使用者从 Google Play 或是第三方市集、网站安装更多 App。
起初资安团队只将这些恶意程式归类为间谍程式或是具有后门的潜在有害 App(Potentially HarmfulApp,PHA),并没有将他们关联为同一个家族,早期许多 Tizi 的变种也没有 Root 的能力,但是后期的变种则能取得 Root 权限。
当 Tizi 入侵装置并取得 Root 权限之后,它就会透过简讯连系 C&C 服务器(Command-and-Control Servers,指攻击者遥控木马程式的伺器),并回传装置的 GPS 座标,接着 C&C 服务器就会透过一般 HTTPS 协定传送指令,少数变种则会透过 MQTT(Message Queue Telemetry Transport)协定传送。
Tizi 与许多常见的间谍程式一样,具有侧录、窃取装置上资料的能力,它能够侧录 WhatsApp、Viber、Skype 通话,以及接收、发送简讯,还有存取行事历、通话纪录、通讯录、照片、Wi-Fi 无线网络金钥、已安装 App 清单等功能,此外 Tizi 甚至能够偷偷录音,以及在屏幕没有显示画面的情况下拍照。
由于 Tizi 用来执行 Root 的漏洞大多比较老旧,所以只有比较旧的装置以及 Android 版本会受到影响,所有的漏洞已在 2016 年 4 月或之前发布的安全性更新后修正,所以只要安装相关更新档后就不会遭到 Tizi 攻击。
然而如果漏洞都已修正,Tizi 仍然会询问使用者是否给予存取简讯、发送简讯等权限,并尝试执行相关动作。
安装 App 时请详阅权限要求
为了确保 Android 使用者的安全,Google Play Protect 会关闭装置上受感染的 App,并通知所有受影响装置的使用者,而相关开发者的 Google Play 账号也已被停权。资安团队也在这次事件后,更新了装置上的资安服务以及寻找潜在有害 App 的系统,以提升 Android 生态圈的安全性。
此外,Google 也对使用者提出 5 点建议,来避免受到其他资安威胁的侵害。首先最重要的就是在安装 App 时,需仔细查阅 App 是否提出不合理的权限需求,例如手电筒 App 要求存取简讯就很不寻常。
接下来就是启用安全锁定屏幕功能,透过 PIN、图型密码保护装置不被外人操作,此外保持装置更新、启用 Google Play Protect 也都能修补漏洞以及避免资安威胁进入装置。
最后 Google 也建议大家开启定位功能,因为上述层层保护并不能防止你遗失手机,所以开启定位有助于找回遗失的手机。
- Tizi: Detecting and blocking socially engineered spyware on Android
(本文由 T客邦 授权转载;首图来源:Flickr/Blogtrepreneur CC BY 2.0)
