Hacking Team數(shù)據(jù)泄露事故表明，偽裝Android應(yīng)用可通過使用動態(tài)加載技術(shù)繞過Google Play Store中的過濾功能。這種攻擊的工作原理是什么，用戶和企業(yè)可如何檢測這些惡意應(yīng)用?

[[161725]]

Michael Cobb：備受爭議的IT安全公司Hacking Team淪為網(wǎng)絡(luò)攻擊的受害者，攻擊者宣布他們正在通過Hacking Team自己的Twitter賬號將其客戶文件、合同、財務(wù)資料和內(nèi)部郵件提供公眾下載。(該公司專門向政府、執(zhí)法機構(gòu)和企業(yè)銷售“攻擊性”入侵和監(jiān)控工具及服務(wù)，這400GB泄露數(shù)據(jù)向我們揭露了政府和企業(yè)監(jiān)控及間諜活動的精彩世界。)

在這些泄露的文件中還包含文件解釋如何使用Hacking Team的軟件，以及某些應(yīng)用的源代碼。安全軟件公司Trend Micro研究人員在這些數(shù)據(jù)中發(fā)現(xiàn)了惡意Android應(yīng)用樣本，該應(yīng)用偽裝成新聞app，并使用BeNews作為名稱(這是現(xiàn)已解散的新聞網(wǎng)站的名稱)，這個app看似合法，并且，該應(yīng)用不包含漏洞利用代碼，在安裝時只要求三個權(quán)限。這種無害的偽裝讓它可通過Google Play的審批過程。然而，在安裝該應(yīng)用后，它會使用動態(tài)加載技術(shù)執(zhí)行額外的代碼。

動態(tài)加載讓應(yīng)用只加載需要的組件，在某些相關(guān)組件不總是需要時，這種被用來減小可執(zhí)行文件的大小以及提高性能。在這個假Android應(yīng)用的情況下，這種技術(shù)被用來延遲惡意代碼的加載，直至app通過審核以及被安裝。它安裝Hacking Team的RCSAndroid監(jiān)控程序，這被安全專家認為是最復雜的Android惡意軟件。它可捕捉屏幕截圖、監(jiān)控剪貼板中的內(nèi)容、收集密碼、聯(lián)系人和信息，并可使用手機的麥克風錄音。該app利用了特權(quán)升級漏洞—CVE-2014-3153，這是Android 2.2到4.4.4中存在的漏洞，用以繞過設(shè)備安全以及允許遠程攻擊者訪問。

在從Google Play移除之前，這個假的BeNews應(yīng)用被下載多達50次，現(xiàn)在這個應(yīng)用以及Hacking Team的其他軟件的源代碼已經(jīng)公開，網(wǎng)絡(luò)罪犯肯定會利用它來添加新的或改進的功能到他們自己的攻擊工具。不過，從好的方面來看，泄露的數(shù)據(jù)包含大量信息可供安全研究人員用于調(diào)查從未被披露或修復的其他漏洞。Hacking Team也建議可使用沙箱技術(shù)來阻止攻擊者利用漏洞攻擊設(shè)備。希望這將鼓勵供應(yīng)商開發(fā)更好的工具以及更多地利用這種緩解技術(shù)。

企業(yè)應(yīng)該通過安全消息推送隨時了解這個快速變化的移動安全環(huán)境，并確保聯(lián)網(wǎng)的移動設(shè)備保持更新和修復?，F(xiàn)在有很多移動保護套件可提供額外的保護以防止惡意應(yīng)用繞過app store和OS安全措施，這包括Trend Micro的Mobile Security for Android、ESET Mobile Security for Android以及McAfee Mobile Security，這些都是企業(yè)版本。