一般App只有untrusted_app权限,而有些则会有更高一些的权限system_app
而Parcel Mismatch漏洞(机制稍微复杂一些但总体效果是可以控制某个system-app打开任意activity,进而达到3中的攻击效果)
这里看不出来他的一些“骚”操作
下面就来看看他的四个操作
保活行为
将自己加入系统的自启动白名单、关联启动白名单、后台白名单、锁屏白名单、悬浮窗、1像素透明图标、省电策略等方式,绕过系统强制休眠限制,持续后台存活。修改隐藏自身耗电量,逃避用户注意。实现细节见保活功能插件
作用:可实时推送用户促销消息、提升转化率;后台收集用户行为,辅助风控,监听用户操作,其他App操作
诱导欺骗行为
使相关权限,绕过系统限制构造相关全屏广告、虚假通知(例如锁屏、解锁、全屏红包消息),诱导用户点击;劫持用户壁纸,劫持用户日历、闹钟等;一直展示消息未读状态,吸引用户点击;修改用户电池状态。
分析防卸载行为
通过假图标、Widget等方式,让用户在桌面无法删除app;或通过注入系统进程方式,拦截回滚用户卸载操作
下面就是最“骚”操作的一点了
信息收集行为
用户隐私信息收集
通过漏洞,突破隐私合规监管和系统限制,为自身添加权限,收集用户的位置、Wifi、识别码、相册装包信息、用户帐户信息、历史通知等,甚至包括聊天记录,对用户进行精准画像。见信息收集插件
提升业务转化率,进行风控,客诉处理分析,对竞争对手人员、供应商、特定人群进行监控。微信聊天记录后台进行解密分析
行业信息收集
通过漏洞,获取其他运行情况,获取其他App DAU、MAU和当前页面,通知历史。监控lit中明确包含淘宝、头条等多个头部厂商。实现细节参见信息收集插件作用:监控竞对数据
攻击、感染行为
提权后攻击其他App、系统App,覆盖文件驻留后内,进行持久化;为自身添加权限;杀掉其他App,实现方式见提权插件
攻击目标:微信、抖音、系统高权限App、快应用平台
远程静默安装行为和链接伪造行为
利用应用市场接口、厂商广告接口、浏览器、微信Webview漏洞,实现用户点击链接打开网页即被静默安装拼多多,结合社交裂变,效果巨大。通过URL跳转漏洞、XSS漏洞等为自身链接借助白域名加白,逃避微信、浏览器封禁
攻击目标:浏览器,应用市场,微信