研究人员发现安卓设备全新恶意软件"斗篷与匕首"

加州大学圣巴巴拉分校和佐治亚理工大学的研究人员，发现了一种名为 Cloak and Dagger （“ 斗篷与匕首 ”）的安卓恶意软件，一旦用户的安卓设备被感染到的话将会在毫不知情的情况下被黑客入侵。研究人员表示Cloak and Dagger可以入侵截至7.1.2版本为止所有Android系统，故目前所有Android装置都存在风险。允许黑客窃取私人敏感数据，其中包括击键与聊天记录、设备 PIN 码、在线帐户密码、OTP 动态口令与通讯录联系人信息等。

据美国乔治亚理工学院研究人员表示，Cloak and Dagger并非透过Android中存在的漏洞进行攻击，相反它会通过变动一些应用程式广泛使用的合法应用权限，从而再取得Android机内部份使用权限，当中的应用权限包括SYSTEM_ALERT_WINDOW（draw on top）及BIND_ACCESSIBILITY_SERVICE（a11y）。当用户在Google Play上下载了相关恶意程式，黑客便会透过各种隐藏按键令用户错误开放应用权限，最后再成功取得装置的控制权。

Cloak and Dagger 主要利用 Android 系统的两项基本权限：

• SYSTEM_ALERT_WINDOW（ “ draw on top ” ）：合法覆盖功能，允许应用程序在 Android 设备屏幕上覆盖其他应用程序。

• BIND_ACCESSIBILITY_SERVICE（ “ a11y ” ）：帮助残障人士与视力受损的用户通过语音命令输入信息或使用屏幕阅读功能收听事件内容。

  
  

由于Cloak and Dagger无需在应用程式内加入恶意代码去执行木马程序，因此黑客可更容易将恶软应用程式提交到Google Play并避过检查。至于感染了斗篷和匕首之后，黑客将可以执行一系列恶意操作，当中包括有记录装置上的操作记录（密码，联络人，通话，短讯及键盘输入记录等），进行网络钓鱼攻击，自动安装任何应用程式或完全上锁手机等，而更可怕的是上述所有操作可以在荧幕关闭的情况下实行，因此用户会完全察觉不到手机已被入侵。

简而言之，黑客可以暗中接管用户 Android 设备并监视设备上的一举一动。目前，虽然研究人员已向 Google 披露该攻击手段，但由于此类问题源自 Android 操作系统设计缺陷且涉及两个标准功能的正常运行，因此该问题恐怕一时无法解决。安全专家建议用户始终从 Google Play 商店下载应用程序并在安装应用程序之前仔细检查权限设置。