新的AndroRAT变种正在利用过期的Root漏洞伺机发起攻击

Android Remote Access Tool的一个最新变种

近日趋势科技检测到Android Remote Access Tool（AndroRAT）的一个最新变种，研究人员已将其标识为ANDROIDOS_ANDRORAT.HRXC，该变种能够注入存在设备中的root漏洞，然后执行恶意攻击任务，如静默安装（silent installation），shell命令执行，WiFi密码收集和屏幕截图。这个AndroRAT的变种所针对的漏洞是CVE-2015-1805，这是一个在2016年公开披露的漏洞，属高危漏洞，可用于提升权限并在存在漏洞的设备上运行任意代码，其实这个安全漏洞的年限已久，很早就在upstream Linux内核中被发现。

RAT攻击一直以来都是Windows常见的威胁，所以它对于Android来说应该不会感到意外。就拿CVE-2015-1805来说吧，它虽然于2014年4月被修复。但不幸的是，人们低估了该漏洞的危害性，到2016年它重新被黑客利用，可以被用于攻击Android操作系统。RAT通常是通过利用漏洞获得设备的root权限，然后控制整个操作系统。趋势科技的研究人员早在2012年就发现，AndroRAT最初是一个在大学实验室开发的项目，本意是要被开发成一个开源的客户端或服务器应用程序，可以提供对Android系统的远程控制，这自然会吸引网络犯罪分子。

利用漏洞的恶意软件代码片段

AndroRAT的本次的新变种是将自己伪装成一个名为TrashCleaner的恶意实用程序，它可能是通过恶意URL下载的。TrashCleaner第一次运行时，会提示Android设备安装中文标记的计算器应用程序，类似于预安装的系统计算器。同时，TrashCleaner图标将从设备的用户界面中消失，并在后台激活RAT。

恶意TrashCleaner的图标

中文标记的计算器应用程序的图标

可配置的RAT服务由远程服务器控制，这意味着攻击者可能会发出远程命令来实时触发不同的恶意行为。当执行特权操作时，该变种就会激活所嵌入的root攻击。这时它就会执行原始AndroRAT中的以下恶意操作：

1.录制音频；

2.使用设备的相机拍照；

3.窃取系统信息，如手机型号，号码，IMEI等；

4.盗用连接到设备的WiFi名称；

5.窃取通话记录，包括来电和拨号记录；

6.窃取移动网络的位置；

7.窃取GPS位置；

8.盗取设备上的通话记录；

9.窃取设备上的文件；

10.窃取正在运行的应用程序列表；

11.从设备收件箱中窃取用户存储的短信；

12.监控用户正在发送和接受的短信；

除了AndroRAT的原始功能外，本次变种还会执行新的特权操作：

1.窃取移动网络信息，存储容量，是否有root漏洞；

2.窃取已安装的应用程序列表；

3.从预先安装的浏览器中窃取网页浏览记录；

4.窃取日历事件；

5.窃取记录通话；

6.向受害者设备上传文件；

7.使用前置摄像头拍摄高分辨率照片；

8.删除并发送伪造的短信；

9.屏幕截图；

10.Shell命令执行；

11.窃取WiFi密码

12.以静默方式为击键记录器（key logger）启用易访问性服务（Accessibility Service）；

针对CVE-2015-1805发起攻击

Google已于2016年3月对CVE-2015-1805进行了修补，但没有进行升级或一些老旧的设备可能会受到此新AndroRAT变种的影响，但不幸的是目前仍有大量移动用户仍在使用的Android旧版本，这些版本都可能仍然存在CVE-2015-1805。

缓解措施

用户应避免从第三方应用程序商店下载应用程序，以免被AndroRAT之类的攻击所威胁。当涉及到设备安全性时，用户应该尽量从合法应用商店下载。另外，定期更新设备的操作系统和应用程序还可以降低被新漏洞攻击所带来的风险。

谷歌表示，这个载有新变种的恶意应用程序目前还从未在Google Play上发布，并且他们已将CVE-2015-1805的检测纳入其安全测试中。理想情况下，2016年4月之后启动或更新的任何设备都不会受到影响。

IoCs