多年來，移動攻擊與移動互聯(lián)網(wǎng)經(jīng)濟(jì)如影隨形，但值得警惕的是，近來隨著更復(fù)雜功能更強(qiáng)大的移動攻擊技術(shù)和惡意軟件“進(jìn)場”，移動攻擊威脅正在迅速演變和升級。

隨著犯罪分子和國家黑客不斷探索新的方法在iPhone和安卓智能手機(jī)上安裝高級功能的惡意程序，移動平臺受到的威脅越來越大。

攻擊者現(xiàn)在正在積極部署具有完整遠(yuǎn)程訪問功能、模塊化設(shè)計以及可對用戶和公司構(gòu)成重大威脅的具有蠕蟲特征的惡意軟件。其中許多惡意軟件家族通過定期的開發(fā)更新不斷改進(jìn)，網(wǎng)絡(luò)犯罪分子在繞過官方應(yīng)用商店的審查程序方面也做得越來越好。與此同時，美國和歐盟都在考慮新的反壟斷法規(guī)，可能使“側(cè)載”(Side Load)應(yīng)用程序成為消費(fèi)者權(quán)利，這進(jìn)一步增加了移動應(yīng)用程序的安全風(fēng)險。

以下是企業(yè)需要密切關(guān)注和積極應(yīng)對的六種移動惡意軟件策略：

1. 設(shè)備端欺詐(ODF)

最令人擔(dān)憂的移動惡意軟件新功能之一是能夠直接從受害者的手機(jī)上發(fā)起和執(zhí)行欺詐活動。這種先進(jìn)的功能被稱為設(shè)備端欺詐(ODF)，已在最近的移動銀行木馬中檢測到，其中最著名的是Octo、TeaBot、Vultur和Escobar。在Octo的案例中，惡意軟件利用了安卓系統(tǒng)的MediaProjection服務(wù)(啟用屏幕共享)和Accessibility Service(遠(yuǎn)程在設(shè)備上執(zhí)行操作)。這種手動遠(yuǎn)程訪問功能也已通過VNC查看器的實(shí)現(xiàn)啟用，例如Escobar和Vultur。

ODF標(biāo)志著移動攻擊的重要轉(zhuǎn)折點(diǎn)：攻擊重點(diǎn)目標(biāo)從憑據(jù)盜竊和數(shù)據(jù)泄露轉(zhuǎn)向欺詐實(shí)施。值得注意的是，盡管大多數(shù)ODF木馬主要用于實(shí)施金融盜竊，但這些模塊也可被用于攻擊對其他類型的企業(yè)賬戶和通信協(xié)作工具，例如Slack、Teams和Google Docs。

2. 通話重定向

另一個令人不安的功能是攔截合法電話，最近出現(xiàn)在Fakecalls銀行木馬中。

在這種攻擊中，惡意軟件可以在呼叫者不知情的情況下斷開用戶發(fā)起的通話呼叫連接，并將呼叫重定向到攻擊者控制的另一個號碼。由于呼叫屏幕繼續(xù)顯示合法電話號碼，因此受害者無法知道他們已被轉(zhuǎn)移到虛假呼叫服務(wù)。惡意軟件通過在應(yīng)用程序安裝期間獲取呼叫處理權(quán)限來實(shí)現(xiàn)這一點(diǎn)。

3. 通知直接回復(fù)功能濫用

今年2月，間諜軟件FluBot(5.4版)引入了濫用Android通知直接回復(fù)的新功能，該功能允許惡意軟件攔截并直接回復(fù)其目標(biāo)應(yīng)用程序中的推送通知。此功能在其他移動惡意軟件中也被發(fā)現(xiàn)，包括Medusa和Sharkbot。

這種獨(dú)特的功能允許惡意軟件簽署欺詐性金融交易、攔截雙因素身份驗(yàn)證碼并修改推送通知。此功能還可通過向社交軟件通知發(fā)送自動惡意響應(yīng)，以類似蠕蟲的方式將惡意軟件傳播給受害者的聯(lián)系人，這種策略被稱為“推送消息網(wǎng)絡(luò)釣魚”。

4. 域生成算法

Sharkbot銀行木馬還有一個值得注意的特性：域生成算法(DGA，可以用來逃避檢測。與其他具備DGA算法的傳統(tǒng)惡意軟件一樣，移動惡意軟件不斷為其命令和控制(C2)服務(wù)器創(chuàng)建新的域名和IP地址，這使得安全團(tuán)隊(duì)難以檢測和阻止惡意軟件。

5. 繞過官方應(yīng)用商店檢測

蘋果和安卓的官方應(yīng)用商店的應(yīng)用程序?qū)彶榱鞒桃恢笔菒阂廛浖c審查者玩貓捉老鼠游戲的地方，但最近的一些網(wǎng)絡(luò)犯罪新策略值得注意。例如，CryptoRom犯罪活動濫用蘋果公司的TestFlight
beta測試平臺和Web Clips功能，通過完全繞過App Store將惡意軟件發(fā)送給iPhone用戶。一名犯罪分子用另一種方法成功繞過了Google Play的安全審核流程，該犯罪分子向開發(fā)人員付費(fèi)以在其應(yīng)用程序中使用其惡意SDK，然后竊取用戶的個人數(shù)據(jù)。

dropper在移動惡意軟件分發(fā)中變得越來越普遍，研究人員最近注意到這些服務(wù)以及其他分發(fā)參與者在地下市場的活動有所增加。

6. 更精細(xì)的開發(fā)實(shí)踐

模塊化惡意軟件設(shè)計并不新鮮，更可怕的是攻擊者還在開發(fā)具有高級更新功能的安卓銀行木馬，例如最近發(fā)現(xiàn)的Xenomorph惡意軟件。Xenomorph結(jié)合了模塊化設(shè)計、可訪問性引擎、基礎(chǔ)設(shè)施和C2協(xié)議，以提供重要的更新功能，使其成為更先進(jìn)的木馬，包括自動傳輸系統(tǒng)(ATS)功能。展望未來，更多移動惡意軟件系列將整合更好的更新流程，在受感染設(shè)備上啟用增強(qiáng)功能和全新功能。

總結(jié)：針對性的防御策略

為了應(yīng)對這些新的移動惡意軟件策略和威脅，企業(yè)需要確保其網(wǎng)絡(luò)安全計劃包括強(qiáng)大的移動安全防御體系，其中包括移動設(shè)備管理解決方案、多因素身份驗(yàn)證和強(qiáng)大的員工訪問控制。而且，由于移動惡意軟件感染通常始于社會工程，因此公司應(yīng)積極提供安全意識培訓(xùn)，并考慮部署技術(shù)監(jiān)控移動攻擊的通信渠道。