那个恶意软件与自己的后门进入Android的框架？别担心;谷歌在它上面。（GULP！）

移动安全之一“最大的恐惧已经通过了。谷歌上周（6月6日）确认了网络故事已经设法将恶意软件预先安装到Android框架后门。简而言之，恶意软件似乎在Android中最深点的谷歌祝福。

“在Google Play应用程序上下文中，安装意味着[恶意软件]不必从未知来源打开安装，并且所有应用程序安装都看起来像是来自Google Play，”卢卡萨斯Siewierski，Android安全和隐私团队写道，在博客文章中。“从C＆C服务器下载该应用程序，使用双XOR和ZIP使用相同的自定义加密例程加密与C＆C的通信。下载和已安装的应用程序使用Google Play上可用的未植入应用程序的包装名称。除了同一包装名称，他们没有与Google游戏中的应用程序有任何关系。“

企业Cisos和CSO以及CIO，正在发现今天信任主要的移动操作系统公司 - Apple和Google - 处理他们的安全保护结束是蛮干。由于Apple生态系统的性质（共有一个手机制造商，这允许更封闭的系统），iOS稍微安全，但只有略微。

尽管如此，谷歌的新录取肯定会让苹果在安全领域看起来好多了。问题是本身的操作系统 - iOS和Android都具有合理的安全代码。它是通过官方批准的应用程序存款人员提供给企业和消费者的应用程序。企业安全专业人员已经知道，Apple和Google都没有验证应用程序的安全性。尽其所述，两者都在检查策略和版权问题远远超过恶意软件的存在。

但那是处理真正的第三方应用程序。直接来自Apple和Google的应用程序可以信任 - 或者在谷歌的披露之前被认为是思考的。

谷歌承认的事件发生了两年前，博客帖子并没有说谷歌在此时谷歌宣布它，或者为什么选择为什么。可能是谷歌想要确保它在宣布之前已经充分关闭了这个漏洞，但两年是非常长的时间来了解这个严肃的一个洞，对此保持沉默。

那么实际发生了什么？Google获取发布大量详细信息的积分。谷歌的故事的背景始于比这更年来的一年 - 所以，三年前 - 有一系列名为Triada的垃圾邮件广告显示应用程序。

“Triada应用程序的主要目的是在显示广告的设备上安装垃圾邮件应用程序，”Siewierski写道。“Triada的创作者收集了垃圾邮件应用程序显示的广告的收入。对于这些类型的应用程序来说，Triada使用的方法是复杂的和不寻常的。Triada应用程序开始作为生根的特洛伊木马，但由于Google Play保护加强防御的防御，Triada应用程序被迫适应，进入系统图像后门。“

然后Siewierski然后详细说明了应用程序的方法：“Triada的第一个动作是安装一种超级用户（SU）二进制文件。此苏二进制文件允许设备上的其他应用程序使用根权限。Triada使用的苏二进制文件需要密码，与其他Linux系统共同的常规苏二进制文件相比，是独一无二的。二进制接受了两个密码：OD2GF04PD9和AC32DORBDQ。根据所提供的，二进制文件可以作为root或连接的所有参数ran ran ran ran ran ran或串联，ran在sh之前的连接，然后按照root ran ran。无论哪种方式，该应用程序必须知道正确的密码以作为root运行命令。“

该应用程序使用了一个令人印象深刻的复杂系统来释放所需的空间，但避免它可以 - 删除将其提醒或消费者对问题的任何东西。“重量观察包括几个步骤，并试图释放设备的用户分区和系统分区上的空间。使用黑名单和白名单应用程序，首先删除了黑名单上的所有应用程序。如果需要更多的可用空间，它将删除仅留下白名单上的应用程序的所有其他应用程序。这个过程释放了空间，同时确保手机正常工作所需的应用程序未被删除。“他还指出，“除了安装显示广告的应用外，Triada注入了四个Web浏览器：AOSP（com.android.browser），360安全（com.qihoo.browser），cheetah（com.ijinshan.browser_fast）和oupeng（com.oupeng.browser）。“

此时，Siewierski写道，谷歌检测了恶意软件努力，并能够使用Google Play保护删除Triada样本，并试图以其他方式挫败Triada。这是在三迪亚袭击的时候，在2017年夏天。“而不是根亚人获得提升权限，而是进化到已安装的Android框架后门。Triada的更改包括Android框架日志功能中的额外呼叫。通过回理日志函数，每次调用日志方法时都会执行附加代码。也就是说，每次手机上的任何应用都试图记录一些东西。这些日志尝试每秒多次发生多次，因此额外的代码[是]运行不停。附加代码也在应用程序日志记录消息的上下文中执行，因此Triada可以在任何应用上下文中执行代码。Triada早期版本的代码注入框架在棉花糖之前的Android版本上工作。后门函数的主要目的是在另一个应用程序上下文中执行代码。后门尝试每次应用程序需要对某些内容执行额外的代码。“

然后，恶意软件有创意查找避免的方法 - 或至少延迟 - 检测。

“每个MMD文件都有一个特定的文件名<process name> 36.jmd的格式<md5。通过使用进程名称的MD5，Triada作者试图模糊注射目标。但是，所有可用的过程名称的池相当小，所以这款哈希容易可逆。我们确定了两个代码注入目标：com.android.Systemui（系统UI App）和Com.Android.vending（Google Play应用程序）。注入第一个目标以获取get_real_tasks权限。这是一个签名级别权​​限，这意味着它不能由普通的Android应用程序持有。从Android棒棒糖开始，弃用GetRecentTasks（）方法以保护用户“隐私”。但是，包含Get_real_Tasks权限的应用程序可以获得此方法调用的结果。要保存get_real_tasks权限，必须使用OEM持有的设备的平台证书，该应用程序必须与特定证书签名。Triada无法访问此证书。相反，它在系统UI应用程序中执行了附加代码，该应用程序具有get_real_tasks权限。“

恶意软件让其邪恶的袖子更焦虑。“最后一块拼图是与已安装的应用程序通信的日志函数中的后门的方式。此通信提示调查：Triada的变化显示，它看起来有系统图像上还有另一个组件。应用程序可以通过使用特定预定义标记和消息记录行与Triada BackDoor进行通信。反向通信更复杂。后门使用的Java属性将消息中继到应用程序。这些属性是与Android系统属性类似的键值对，但它们被选中到特定过程。在一个应用上下文中设置其中一个属性可确保其他应用程序不会看到此属性。尽管如此，某些版本的Triada不分青红皂白地性地在每个应用程序过程中创建了属性。“

在职位结束时 - 包含更多的代码，值得彻底读取 - Google对下一步提供了一些想法。仔细看看它的建议，看看你是否可以检测到谁似乎从这一切中发出谁？来自谷歌的建议：“OEM应该确保审查所有第三方代码，并可以跟踪到其来源。此外，添加到系统图像中的任何功能都应该仅支持所请求的功能。在添加第三方代码后，它是一个很好的做法是在添加第三方代码后对系统映像进行安全审查。Triada不明显地包含在系统形象中，作为OEM所要求的其他功能的第三方代码。这突出了在设备向用户销售之前对系统图像的彻底持续安全审查的需求以及它们在空中更新（OTA）之前。“

那个博览会，但谁完全应该在进行这些持续的安全评论？肯定地，谷歌不建议在OEM的手中取消选中，这是如此重要的事情。我得出结论，谷歌将为自己的安全团队添加广泛的资源，以确保任何诸如此发生这种情况，通过OEM检查站。

有一个信任谷歌和Apple的问题 - 当我们确保移动操作系统和相关的应用程序是安全的时，它是安全的。OEM有很少的投资回报率来证明大型安全投资。降压必须使用谷歌。我似乎觉得黑莓有太多问题的那些问题，这是因为作为公司，它优先考虑安全。（好吧，也许它应该备受一些优先级的营销优先级，而是我倾斜。）

如果谷歌没有做更多的安全，CIO / CISOS / CSO将要么必须承担这项任务 - 或者严重质疑哪些MOS可以证明支持。