最近幾年，針對Windows平臺開發(fā)的惡意軟件工具包發(fā)展地很迅速，惡意軟件編寫者不斷增加新的功能，提供更強大的自動化。雖然企業(yè)安全團隊受到了這些先進工具包的挑戰(zhàn)，但是至少他們明白Windows是企業(yè)關鍵數字資產的主要通道，并努力確保這條大道的安全性。盡管企業(yè)終端移動設備掀起了大浪潮，Windows還是王國的大門，惡意軟件編寫者針對這個平臺投入了大量的野心。Obad.a，一種新發(fā)現(xiàn)的Android系統(tǒng)惡意軟件，可能改變這個認知。

在這篇文章中，我們將討論Obad.a為什么值得關注?它和基于Windows系統(tǒng)的惡意軟件有什么共同點和區(qū)別?企業(yè)可以怎樣減輕這種針對Android設備的先進新品種惡意軟件的傷害?

解剖Obad.a

卡巴斯基實驗室(Kaspersky Lab)的研究人員是最先揭露Obad.a的具體資料的團隊，他們將Obad.a和基于Windows的惡意軟件相比較，至少目前為止，大家都普遍認為Obad.a比之前出現(xiàn)在移動平臺的任意惡意軟件都要復雜?；仡櫩ò退够芯咳藛T的發(fā)現(xiàn)，可以很容易看到他們對Obad.a和基于Windows惡意軟件所作出的對比并不夸張。Obad.a包含一些最先進的Windows惡意軟件所具有的的特點：它可以發(fā)送優(yōu)惠短信(類似于垃圾郵件)，下載其他惡意軟件，在受感染的設備上運行命令，還可以通過藍牙連接攻擊其它設備。卡巴斯基實驗室的更新報告中概述了Obad.a是如何傳播惡意短信的。

所有惡意軟件作者都從現(xiàn)有的惡意軟件和漏洞中汲取靈感，然后仔細思考，在他一直嘗試實現(xiàn)的功能基礎上為他們的惡意軟件添加一些特定性能，所以移動設備惡意軟件編寫者會仔細研究成功的Windows惡意軟件來找尋新的特性這并不奇怪。現(xiàn)在各種惡意軟件作者開始使用專業(yè)的軟件開發(fā)實踐工具，開發(fā)新功能的程序都是模塊化的。在許多傳統(tǒng)的軟件開發(fā)工程中，編程環(huán)境都從一些程序員的經驗中抽象出一些平臺和操作系統(tǒng)的復雜功能，以幫助發(fā)展新的平臺和操作系統(tǒng)。

雖然Android設備上的惡意軟件非常普遍，這是在信息安全界眾所周知的事實，但是并沒有多少安全專家意識到Android系統(tǒng)惡意軟件作者已經開始將Windows惡意軟件上的一些先進功能移植到移動設備上。Obad.a的作者通過將文件中的字符串加密，混淆代碼，使代碼轉換成Java編碼更困難，這樣分析Obad.a惡意軟件二進制文件也就變得更困難。

Obad.a還利用兩個零日漏洞來進一步阻礙分析，保持文件和未列出的惡意軟件相關聯(lián)，并將自己本身藏在擁有設備管理員訪問權限的應用程序列表之外。Obad.a會檢查受感染的設備是否擁有網絡訪問權限，如果有，它會下載Facebook主頁面然后將其作為C&C(命令與控制)地址的解密密鑰。Obad.a有一個遠程外殼可以連接到C&C的基礎設施，然后可以自我更新來添加新的功能。Obad.a還可以監(jiān)控短信，并執(zhí)行各種命令。

說了這么多，其實Obad.a目前對于企業(yè)來說風險還是較低，經過卡巴斯基檢測，其在所有Android惡意軟件感染實例中只占了0.15%。雖然一般的Windows惡意軟件和這種新的Android惡意軟件之間有很多共同點，但是Obad.a還是缺少一些近幾年針對Windows系統(tǒng)開發(fā)的最先進的功能。這些最先進的操作包括使用一些方法來騙過安裝在設備上的安全監(jiān)測工具，以達到提取存儲密碼，捕獲文本輸入、密碼和其它敏感數據的能力。

如何處理先進的Android惡意軟件

Obad.a可能僅僅代表目前各種Android設備的惡意軟件的一小部分，但是企業(yè)必須意識到日益復雜的移動設備惡意軟件的威脅性。不幸的是，分散的Android生態(tài)系統(tǒng)對于廣泛開發(fā)的Android漏洞提供的保護很有限，幾乎是沒有保護。Android生態(tài)系統(tǒng)的這種分散性，加上對移動運營商修補補丁的依賴使應用補丁去修補Android系統(tǒng)惡意軟件所引發(fā)的漏洞是很困難的。

這時，第三方工具就可以派上用場來保護Android設備，如反惡意軟件的軟件或安全監(jiān)控。企業(yè)或個人可能想要調查第三方補丁在Android設備或者自定義光盤上的應用，或它曾經修復過的漏洞。但是，應用第三方補丁可能會造成不可預見的問題，比如穩(wěn)定性、支持性甚至潛在的系統(tǒng)安全性，就像應用在Windows系統(tǒng)上的第三方補丁所遇到的類似問題。其實，補丁的復雜性和沒有一個移動設備管理系統(tǒng)來管理Android設備都有可能比Obad.a惡意軟件所帶來的風險大。

歸根結底，企業(yè)應該采取US-CERT(美國計算機安全緊急應變小組)所列出的一些標準步驟來保護移動設備對抗Obad.a惡意軟件，同時也要提高用戶的基本安全意識。根據卡巴斯基的第一份研究報告，Obad.a可以提供的唯一可用功能是允許一個受感染設備通過藍牙來攻擊另一個設備，那么可以通過禁用藍牙或只在值得信賴的環(huán)境下啟用藍牙就可以消除這種攻擊。提高用戶的安全意識，他們就不會點擊潛在的惡意短信鏈接，那么也可以阻止Obad.a的蔓延。在企業(yè)環(huán)境中阻止Obad.a的蔓延還有一條很漫長的路要走。