Android平臺(tái)惡意攻擊事件

2017年7月，安全公司Palo Alto Networks報(bào)告了一款在中國(guó)流行的針對(duì)中國(guó)用戶的新型Android惡意木馬SpyDealer。該惡意程序通過被入侵的無線網(wǎng)絡(luò)進(jìn)行傳播。一旦感染，能夠從微信、QQ、微博等40余款流行應(yīng)用程序中竊取用戶敏感信息，給用戶造成嚴(yán)重的隱私損失。除了SpyDealer，過去的一年以來爆發(fā)了大量基于Android平臺(tái)的惡意攻擊事件。

[[196929]]

HummingBad惡意軟件

[[196930]]

2016年7月，一份來自安全公司Checkpoint的報(bào)告指出，新發(fā)現(xiàn)的一個(gè)名為HummingBad的惡意軟件感染了全世界多達(dá)1000萬臺(tái)Android設(shè)備。HummingBad由一些惡意組件組合而成，其中許多組件都是具有相同功能的惡意代碼的不同變種。當(dāng)被感染的應(yīng)用程序安裝在Android設(shè)備后，這些惡意組件會(huì)動(dòng)態(tài)地下載到設(shè)備上，并在安裝成功后在設(shè)備上彈出帶有 “關(guān)閉” 按鈕的廣告橫幅。實(shí)際上，點(diǎn)擊該按鈕并不能關(guān)閉廣告。報(bào)告指出HummingBad惡意軟件為攻擊者帶來了每月高達(dá)300000美元的收入。

Gooligan惡意軟件

2016年12月，安全公司Checkpoint爆料一款名為Gooligan的新型惡意軟件已經(jīng)入侵了超過100萬Google賬戶，并且在以每日感染13000個(gè)設(shè)備的速度蔓延，這是有史以來最嚴(yán)重的Google賬戶被黑事件。Gooligan通過感染合法的應(yīng)用程序，誘惑用戶下載，一旦安裝植入到Android設(shè)備上，就會(huì)竊取用戶敏感信息，包括：Google賬戶和身份驗(yàn)證token信息等，并回傳到攻擊者的服務(wù)器。除此之外，Gooligan會(huì)從服務(wù)器傻瓜下載rootkit，利用Android系統(tǒng)漏洞(如：VROOT和Towelroot)獲取設(shè)備的root權(quán)限，從而徹底控制設(shè)備。

ViperRAT惡意軟件

據(jù)Lookout和卡巴斯基等安全公司報(bào)告，一款名為ViperRAT的惡意軟件正在入侵以色列軍隊(duì)士兵的Android手機(jī)，從而監(jiān)控其活動(dòng)并竊取有關(guān)數(shù)據(jù)，包括照片、錄音資料、短信息、通信錄及設(shè)備位置等隱私數(shù)據(jù)。截至2017年2月，超過100名使用三星、HTC、LG和華為等品牌的以色列軍人的Android手機(jī)都遭到攻擊，并有近9000份文件被盜。

Judy惡意軟件

[[196931]]

2017年5月，安全公司Checkpoint披露了十幾款利用惡意廣告點(diǎn)擊軟件感染用戶設(shè)備的Android惡意應(yīng)用，其中甚至有惡意應(yīng)用已經(jīng)在Google Play應(yīng)用商店上線一年以上。Checkpoint指出這些惡意應(yīng)用可能已經(jīng)感染了3650萬用戶的手機(jī)，有望成為Google Play應(yīng)用商店目前發(fā)現(xiàn)的傳播最廣泛的惡意應(yīng)用。這些惡意應(yīng)用主要包含在一系列名為Judy的休閑烹飪和時(shí)裝游戲中，在安裝后通過動(dòng)態(tài)加載惡意程序，使用被感染的手機(jī)點(diǎn)擊廣告，從而為攻擊者創(chuàng)造不正當(dāng)?shù)慕?jīng)濟(jì)收入。

惡意攻擊的發(fā)展與危害

下圖是防病毒軟件公司G Data做出的近五年Android平臺(tái)惡意軟件增長(zhǎng)情況統(tǒng)計(jì)表。該公司指出，2017年第一季度Android手機(jī)端出現(xiàn)了超過75萬個(gè)新型惡意應(yīng)用，并預(yù)測(cè)到2017年底，Android手機(jī)端惡意應(yīng)用總數(shù)將會(huì)增長(zhǎng)到350萬。報(bào)告進(jìn)一步指出，Android惡意應(yīng)用急速增長(zhǎng)主要原因是第三方手機(jī)制造商廣泛，導(dǎo)致Android操作系統(tǒng)碎片化更為嚴(yán)重。

近五年Android平臺(tái)惡意軟件增長(zhǎng)情況

惡意應(yīng)用利用通訊錄、信息、網(wǎng)頁瀏覽歷史和銀行證書等手段進(jìn)行用戶敏感信息竊取、設(shè)備資源消耗、非法收益獲取和僵尸網(wǎng)絡(luò)創(chuàng)建等違法操作，給用戶帶來了經(jīng)濟(jì)損失和隱私泄露等問題。從國(guó)家安全層面而言，通過給移動(dòng)智能終端隱蔽植入惡意應(yīng)用，可以獲取敏感信息，再輔助以強(qiáng)大的后臺(tái)同步分析，很容易獲取涉及國(guó)家的經(jīng)濟(jì)、政治等敏感信息，甚至通過移動(dòng)智能終端散布謠言、傳播危險(xiǎn)信息，這使得國(guó)家對(duì)敏感信息資源生產(chǎn)、傳播和監(jiān)管的能力面臨嚴(yán)峻挑戰(zhàn)。

當(dāng)前主流的檢測(cè)與防護(hù)措施

目前，國(guó)內(nèi)外學(xué)術(shù)界和產(chǎn)業(yè)界對(duì)Android系統(tǒng)的安全機(jī)制，惡意應(yīng)用攻擊技術(shù)、惡意應(yīng)用檢測(cè)技術(shù)及惡意應(yīng)用防護(hù)技術(shù)展開了深入的研究，產(chǎn)生了大量的學(xué)術(shù)成果和商業(yè)產(chǎn)品，在一定程度上緩解了惡意應(yīng)用的傳播。

檢測(cè)技術(shù)

Android平臺(tái)的惡意應(yīng)用檢測(cè)技術(shù)主要分為靜態(tài)檢測(cè)技術(shù)和動(dòng)態(tài)檢測(cè)技術(shù)。靜態(tài)檢測(cè)通過分析應(yīng)用源代碼和二進(jìn)制文件。因?yàn)椴恍枰獔?zhí)行應(yīng)用，所以不易被惡意軟件察覺，在分析過程中，惡意軟件不會(huì)隱藏其惡意行為，具有代碼覆蓋率高的優(yōu)點(diǎn)。當(dāng)前大部分的病毒掃描類安全軟件采用的是基于特征碼的檢測(cè)技術(shù)。當(dāng)某種病毒出現(xiàn)時(shí)，安全人員從該程序中截取一段獨(dú)一無二且足以代表該程序的代碼，以此作為判別該病毒的依據(jù)。特征碼一般包括MD5、校驗(yàn)碼和字符串三種格式。雖然基于特征碼的檢測(cè)技術(shù)能夠準(zhǔn)確地檢測(cè)已知的惡意軟件，并使用較少的計(jì)算資源，但不能檢測(cè)未知的惡意軟件或惡意軟件的變體。簽名提取的過程需要人工參與，效率不高，同時(shí)很難保持簽名的有效性，不斷地更新簽名會(huì)消耗移動(dòng)設(shè)備有限的存儲(chǔ)資源。

當(dāng)惡意軟件采取代碼混淆或加密等技術(shù)時(shí)，靜態(tài)檢測(cè)技術(shù)往往無能為力。這時(shí)候就需要真實(shí)執(zhí)行應(yīng)用程序，獲取其輸出或內(nèi)部狀態(tài)等信息進(jìn)行分析。動(dòng)態(tài)檢測(cè)通常是在真實(shí)或虛擬的測(cè)試環(huán)境(即沙箱)當(dāng)中進(jìn)行，借助各種條件對(duì)惡意應(yīng)用樣本進(jìn)行激活，通過對(duì)運(yùn)行過程中樣本產(chǎn)生的所有行為模式監(jiān)控，觀察其執(zhí)行流程及數(shù)據(jù)變化，從而判斷其安全性。

防護(hù)技術(shù)

基于主機(jī)的入侵防御系統(tǒng)在后臺(tái)運(yùn)行，并在應(yīng)用運(yùn)行的過程中實(shí)現(xiàn)動(dòng)態(tài)監(jiān)控。一旦發(fā)現(xiàn)可疑行為，將會(huì)彈窗提醒用戶。然而，該類HIPS往往基于對(duì)敏感API調(diào)用的監(jiān)控，大量的安全應(yīng)用程序也會(huì)調(diào)用該類API。這就導(dǎo)致了一定的誤報(bào)率。同時(shí)，頻繁的彈窗提醒會(huì)影響用戶的操作體驗(yàn)。

趨勢(shì)

將大數(shù)據(jù)技術(shù)應(yīng)用到Android平臺(tái)惡意應(yīng)用的檢測(cè)和防護(hù)中是當(dāng)前的發(fā)展趨勢(shì)。一方面，通過對(duì)全網(wǎng)所有Android應(yīng)用進(jìn)行爬取、分析、統(tǒng)計(jì)和不斷更新，實(shí)時(shí)準(zhǔn)確地反映全網(wǎng)Android應(yīng)用安全態(tài)勢(shì)，從而構(gòu)建Android平臺(tái)應(yīng)用安全監(jiān)測(cè)和管理的大數(shù)據(jù)平臺(tái)。另一方面，針對(duì)Android惡意應(yīng)用檢測(cè)，可以通過采集海量的Android應(yīng)用(包括來自惡意應(yīng)用庫(kù)的惡意應(yīng)用，以及來自官方電子市場(chǎng)的安全應(yīng)用)，提取其靜態(tài)特征與動(dòng)態(tài)特征，構(gòu)建基于大數(shù)據(jù)技術(shù)的機(jī)器學(xué)習(xí)模型，從而實(shí)現(xiàn)對(duì)Android惡意應(yīng)用的判別。

【本文為51CTO專欄作者“中國(guó)保密協(xié)會(huì)科學(xué)技術(shù)分會(huì)”原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文