?1、Android惡意軟件概述

Android惡意軟件是當(dāng)前移動互聯(lián)網(wǎng)上最大的安全威脅之一，是一種惡意侵入性軟件程序，包括但不限于病毒、蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚、勒索軟件和鍵盤記錄器等。攻擊者通過不同手段將惡意軟件分發(fā)到互聯(lián)網(wǎng)上進(jìn)行傳播，給公眾的個人信息安全、財(cái)產(chǎn)安全以及企事業(yè)單位的信息安全帶來了嚴(yán)重威脅。

1.1總體態(tài)勢

根據(jù)《2021年360移動應(yīng)用安全觀測報(bào)告》顯示，全年累計(jì)監(jiān)測到含有惡意行為的應(yīng)用300551款。這些惡意程序廣泛分布于第三方應(yīng)用商店。其中，存在惡意行為的游戲類應(yīng)用數(shù)量占全國惡意應(yīng)用總量的31.45%，位居第一。其他的惡意應(yīng)用類型包括金融理財(cái)類、生活實(shí)用類以及咨詢閱讀類等。

同年，卡巴斯基團(tuán)隊(duì)檢測到3464756個惡意安裝包。其中包括銀行木馬97661個，勒索病毒木馬17372個。此外，受移動惡意軟件攻擊的手機(jī)用戶中，中國的手機(jī)用戶占比高達(dá)28%，位居世界第二。這些數(shù)量龐大的惡意軟件嚴(yán)重危害到個人隱私、經(jīng)濟(jì)利益乃至國家安全。

1.2 Android惡意軟件行為分布

目前Android平臺的惡意軟件行為以隱私竊取、惡意扣費(fèi)和資費(fèi)消耗等類型為主。用戶在享受應(yīng)用程序帶來的便利的同時，不易察覺到惡意軟件帶來的潛在風(fēng)險(xiǎn)。以下是幾種典型的惡意行為：

（1）  未明確提示用戶或未經(jīng)用戶許可，收集用戶信息，包括姓名、生日、身份證、住址、電話號等；

（2）  竊取用戶隱私數(shù)據(jù)，如電子郵件、聊天記錄、賬號密碼和銀行卡信息等，進(jìn)而對用戶銀行賬戶進(jìn)行攻擊；

（3）  控制設(shè)備進(jìn)行音頻和視頻采集，獲取地理位置信息，對用戶和周邊環(huán)境進(jìn)行實(shí)時監(jiān)控；

（4）  未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍活動或殘存程序；

（5）  誘導(dǎo)用戶發(fā)送付費(fèi)短信或購買付費(fèi)應(yīng)用，造成經(jīng)濟(jì)損失；

長期運(yùn)行在后臺，占用系統(tǒng)資源，消耗設(shè)備電量，實(shí)施挖礦、刷流量等行為。

2、Android惡意代碼的技術(shù)演進(jìn)

2.1    傳播技術(shù)

Android平臺的惡意軟件傳播通常以誘導(dǎo)用戶操作的方式觸發(fā)惡意行為，以下是幾種典型誘導(dǎo)用戶操作的傳播方式：

（1）  惡意軟件：攻擊者將惡意軟件偽裝成常用應(yīng)用程序并上傳到應(yīng)用商店，誘導(dǎo)用戶下載；

（2）  惡意鏈接：攻擊者向目標(biāo)用戶發(fā)送包含惡意鏈接的電子郵件、短信或二維碼，誘導(dǎo)用戶點(diǎn)擊或掃描，之后會自動下載并安裝惡意軟件；

（3）  惡意廣告：攻擊者將惡意鏈接隱藏到在線廣告中，用戶通過點(diǎn)擊“X”來關(guān)閉惡意廣告可能會跳轉(zhuǎn)到非法網(wǎng)站。

近年來，有惡意應(yīng)用能夠?qū)崿F(xiàn)主動傳播，例如ADB.Miner挖礦木馬通過網(wǎng)絡(luò)端口掃描技術(shù)來進(jìn)行自我復(fù)制和傳播：利用端口 5555 上可公開訪問的 ADB 調(diào)試端口，掃描并感染各種安卓設(shè)備，以此來進(jìn)行傳播。

此外，一些新型Android惡意軟件利用“零點(diǎn)擊”漏洞進(jìn)行攻擊，即攻擊者向目標(biāo)發(fā)送惡意鏈接或短信，無需目標(biāo)點(diǎn)擊，即可安裝惡意軟件并進(jìn)行攻擊。為了實(shí)現(xiàn)零點(diǎn)擊攻擊，攻擊者會尋找手機(jī)操作系統(tǒng)或安裝在手機(jī)上的應(yīng)用程序中的漏洞，然后使用隱藏的文本消息或圖像文件將代碼注入目標(biāo)設(shè)備。一旦設(shè)備遭到入侵，用于利用該設(shè)備的消息就會自毀，從而消除攻擊的痕跡。

除了通過網(wǎng)絡(luò)傳播，還有基于物理接觸的傳播方式。攻擊者在充電寶里面添加了一些攻擊性的硬件或者篡改公共充電電纜。當(dāng)移動設(shè)備接入被篡改的充電寶或者公共充電電纜時，攻擊者便可訪問設(shè)備，竊取用戶數(shù)據(jù)，甚至進(jìn)行勒索。

2.2    攻擊實(shí)施技術(shù)

移動終端與計(jì)算機(jī)在體系結(jié)構(gòu)、使用方式等方面具有相似性，例如可以下載安裝并運(yùn)行應(yīng)用程序，可以通過瀏覽器瀏覽網(wǎng)頁。因此，一些計(jì)算機(jī)上惡意代碼攻擊技術(shù)也逐漸應(yīng)用于移動終端上，例如WebView覆蓋攻擊、DDoS攻擊等。除了以上這些傳統(tǒng)的攻擊手段，攻擊者根據(jù)Android系統(tǒng)的特性，針對Android應(yīng)用程序的運(yùn)行方式，研發(fā)出多種攻擊技術(shù)。近幾年，Android平臺上的惡意軟件技術(shù)日趨成熟，其典型的實(shí)施方式包括以下幾大類：

（1）竊密類攻擊

竊密類軟件多見于特種木馬或銀行木馬。這一類軟件通常會偽裝成常用軟件，當(dāng)用戶下載并安裝后，攻擊者就可以通過實(shí)時監(jiān)控設(shè)備屏幕，并且根據(jù)用戶安裝的應(yīng)用列表，獲取到已安裝的銀行應(yīng)用，通過遠(yuǎn)程控制指令下載對應(yīng)的惡意代碼，并注入到銀行應(yīng)用中。之后，誘導(dǎo)用戶輸入密碼、短信驗(yàn)證碼等，最終導(dǎo)致用戶個人信息泄露，造成財(cái)產(chǎn)損失。

竊密類軟件通常會用到監(jiān)聽和遠(yuǎn)程控制技術(shù)：通過無障礙服務(wù)（AccessibilityServices）實(shí)時進(jìn)行屏幕共享，跟蹤并記錄應(yīng)用程序列表、應(yīng)用程序包名，檢索并竊取用戶憑證和短信。

（2）勒索類攻擊

勒索類軟件又稱為“贖金木馬”。攻擊者將用戶設(shè)備鎖屏并修改密碼或者對目標(biāo)數(shù)據(jù)進(jìn)行加密后，要挾受感染的終端用戶支付贖金后，才能解鎖/解密被劫持的資源。

在Android平臺上，勒索軟件能夠成功運(yùn)行的關(guān)鍵在于獲取設(shè)備管理器權(quán)限。這一權(quán)限原本是廠家開發(fā)手機(jī)防盜功能的一個接口，只要用戶安裝此類應(yīng)用并激活設(shè)備管理器權(quán)限，便可以使用鎖定屏幕、重置密碼、監(jiān)控密碼輸入、擦除數(shù)據(jù)等功能。因此，一旦用戶授予勒索軟件設(shè)備管理器權(quán)限，攻擊者就可以對用戶的手機(jī)進(jìn)行鎖定并重置密碼。為了獲得這一權(quán)限，一些勒索軟件使用點(diǎn)擊提升技術(shù)：創(chuàng)建一個Activity來覆蓋激活設(shè)備管理器權(quán)限的界面。通過點(diǎn)擊虛假Activity中的按鍵，受害者無意間激活了設(shè)備管理器權(quán)限。

（3）挖礦類攻擊

Android平臺上的挖礦類軟件利用設(shè)備的CPU計(jì)算能力來挖掘電子貨幣。攻擊者首先通過挖礦木馬遠(yuǎn)程控制用戶手機(jī)，然后使手機(jī)持續(xù)在后臺進(jìn)行挖礦行為來為其牟利。其挖礦方式通常為使用礦池來進(jìn)行挖礦，即嵌入開源的礦池代碼庫進(jìn)行挖礦和使用礦池提供的瀏覽器JavaScript腳本進(jìn)行挖礦。

2.3    自我保護(hù)技術(shù)

惡意代碼自我保護(hù)技術(shù)主要包括隱藏、偽裝以及對抗分析。攻擊者常將惡意軟件偽裝成游戲App或是防病毒App等合法應(yīng)用，發(fā)布在應(yīng)用商店誘使用戶下載。通過清空應(yīng)用程序標(biāo)簽并在安裝后使用透明圖標(biāo)，實(shí)現(xiàn)應(yīng)用的隱蔽安裝。采用對抗分析技術(shù)，例如動態(tài)加載、添加花指令以及對通信數(shù)據(jù)進(jìn)行加密來抵抗殺毒軟件的自動化沙箱檢測和人工代碼分析。

3、Android惡意軟件樣本介紹

Android惡意軟件數(shù)量龐大，筆者選取了3款近年來引起社會廣泛關(guān)注且具有代表性的Android木馬進(jìn)行說明介紹。

3.1 Pegasus（飛馬）

Pegasus是由以色列網(wǎng)絡(luò)武器公司NSO Group開發(fā)的間諜軟件。其攻擊范圍涉及全球50多個國家和地區(qū)，監(jiān)控手機(jī)數(shù)量高達(dá)5萬臺。其中，包括了西班牙首相佩德羅·桑切斯、西班牙國防部長瑪格麗塔·羅伯斯、法國總統(tǒng)埃馬紐埃爾·馬克龍、伊拉克總統(tǒng)薩利赫和南非總統(tǒng)拉馬福薩在內(nèi)10余位政界要員以及其他社會活動家、企業(yè)高管和媒體人士。

Pegasus攻擊行為包括從常用應(yīng)用程序（如WhatsApp、Twitter、Gmail等）收集用戶數(shù)據(jù)，通過命令和控制服務(wù)器（Command and Control Server，C&C）利用短信、HTTP協(xié)議、MQTT協(xié)議等發(fā)送控制指令（控制設(shè)備發(fā)送短信、將用戶數(shù)據(jù)發(fā)送到服務(wù)器等），鍵盤鉤子（獲取用戶鍵盤輸入），調(diào)用麥克風(fēng)、攝像頭捕獲用戶實(shí)時音頻視頻數(shù)據(jù)等。

圖1  飛馬攻擊過程示意圖

早期版本的Pegasus軟件會通過短信向用戶發(fā)送惡意URL并誘導(dǎo)用戶點(diǎn)擊，用戶點(diǎn)擊后下載軟件。軟件利用漏洞獲得root權(quán)限，進(jìn)而獲取終端數(shù)據(jù)并執(zhí)行相關(guān)操作。升級后的Pegasus發(fā)送短信后無需用戶點(diǎn)擊即可進(jìn)行安裝提權(quán)，并通過讀取瀏覽器記錄或本地文件獲取配置信息。啟動后即可與C&C服務(wù)器進(jìn)行隱蔽通信，收集并發(fā)送用戶隱私數(shù)據(jù)，且命令和數(shù)據(jù)都經(jīng)過加密算法加密。

3.2 SOVA

SOVA 是2021年8月初ThreatFabric公司發(fā)現(xiàn)的新型Android 銀行木馬。SOVA在俄語中是貓頭鷹的意思，貓頭鷹作為夜行猛禽的代表，安靜但有效地跟蹤和捕獵目標(biāo)。SOVA木馬的主要目標(biāo)是獲取屏幕讀取權(quán)限，讀取和覆蓋鍵盤，控制通知欄。它的主要攻擊對象為美國、英國和俄羅斯的金融機(jī)構(gòu)。

圖2 2021年9月公布的SOVA研發(fā)路線

研究人員一直密切關(guān)注這款A(yù)ndroid銀行木馬的發(fā)展。2022年3月，SOVA已更新到第三代，并新增2FA攔截、cookie竊取和對多家銀行注入的功能。cookie竊取即攻擊者通過C&C服務(wù)器向目標(biāo)終端發(fā)送“cookie stealer”指令，SOVA劫持用戶的瀏覽器會話，用虛假網(wǎng)頁替換真實(shí)網(wǎng)頁，在其登錄后竊取網(wǎng)站cookie。

圖3  SOVA進(jìn)行cookie竊取示意圖

2022年7月，研究人員發(fā)現(xiàn)SOVA v4。與SOVA v3相比，SOVA開發(fā)者對其代碼結(jié)構(gòu)進(jìn)行優(yōu)化，針對目標(biāo)擴(kuò)展到包括銀行應(yīng)用程序和加密貨幣交易程序在內(nèi)的200多個應(yīng)用程序。其惡意行為包括竊取設(shè)備數(shù)據(jù)、獲取鍵盤輸入、SMS隱藏?cái)r截、拒絕服務(wù)（DDoS）、中間人（MITM）攻擊和獲取攻擊目標(biāo)的屏幕截圖等。SOVA可以抵抗卸載，當(dāng)用戶想要進(jìn)行程序卸載時，會重定向到主屏幕，并通過彈窗提示用戶“軟件安全”。最新的SOVA v5新增了勒索軟件（RANSOMSORT）功能，可用于破壞證據(jù)，對數(shù)字取證造成影響。

SOVA隱藏在假冒的 Android 應(yīng)用程序中，通常使用一些著名應(yīng)用程序的圖標(biāo)，例如 Chrome、亞馬遜、NFT 平臺等。

圖4  SOVA可能使用的應(yīng)用程序圖標(biāo)

雖然目前SOVA v5仍在測試開發(fā)中，但其發(fā)展迅速，思路新穎，可能會成為其他Android銀行木馬的學(xué)習(xí)對象。

3.3 TangleBot

TangleBot于2021年9月被首次披露，主要針對美國和加拿大的Android用戶。攻擊者會向目標(biāo)發(fā)送關(guān)于COVID-19疫苗接種信息、當(dāng)?shù)谻OVID-19政策信息和停電通知的短信，這些短信中包含相應(yīng)的惡意鏈接。

圖5 TangleBot向目標(biāo)用戶發(fā)送包含惡意鏈接的虛假短信

當(dāng)用戶點(diǎn)擊短信中的惡意鏈接時，提示需升級Adobe Flash Player，當(dāng)用戶按要求點(diǎn)擊升級并授權(quán)后，TangleBot就會被安裝到用戶手機(jī)。

圖6 TangleBot欺騙用戶升級Adobe Flash Player

安裝后，TangleBot將獲取SMS、CAMERA、CALL_PHONE等諸多權(quán)限。攻擊者可通過C&C服務(wù)器向目標(biāo)終端發(fā)送控制通話和短信、記錄鍵盤輸入、調(diào)用相機(jī)和麥克風(fēng)、屏幕截圖和獲取剪貼板等相關(guān)命令，從而控制用戶終端，收集用戶個人隱私數(shù)據(jù)。此外，TangleBot還可進(jìn)行HTML注入，生成虛假界面，欺騙目標(biāo)輸入個人信息。

4、總結(jié)與建議

目前，網(wǎng)絡(luò)上存在著大量的Android惡意軟件，同時還有新的惡意軟件在被不斷開發(fā)，網(wǎng)絡(luò)安全形勢依然嚴(yán)峻。針對Android惡意軟件的預(yù)防措施主要包括：

（1）從官方應(yīng)用商店下載應(yīng)用程序，避免從第三方網(wǎng)站下載應(yīng)用程序；

（2）下載時盡可能選擇使用人數(shù)多，用戶評價(jià)好的應(yīng)用程序；

（3）不相信、不下載“破解版”應(yīng)用程序；

（4）不點(diǎn)擊通過短信、社交媒體等發(fā)送的未知鏈接；

（5）應(yīng)用程序授權(quán)時，盡可能不授予如修改系統(tǒng)設(shè)置、讀寫剪貼板、讀寫聯(lián)系人等權(quán)限；

（6）應(yīng)用處于未使用狀態(tài)時，盡可能關(guān)閉其相關(guān)權(quán)限；

（7）當(dāng)系統(tǒng)或應(yīng)用軟件提示“有新版本，可進(jìn)行更新”時，盡可能進(jìn)行系統(tǒng)和軟件更新，因?yàn)楦聲r可能會修復(fù)一些被惡意軟件利用的漏洞；

（8）使用安全公司提供的正版殺毒軟件或手機(jī)自帶的殺毒定期進(jìn)行病毒查殺和手機(jī)軟件檢測。

參考文獻(xiàn)

[1]Mobile Security Review 2022. [EB/OL] [Jun. 2022] www.AV-COMPARATIVES.org

[2]2022 Golbal Mobile Threat Report – ZIMperium[EB/OL] https://www.zimperium.com/global-mobile-threat-report

[3]Rudie J D, Katz Z, Kuhbander S, et al. Technical analysis of the nso group’s pegasus spyware[C]//2021 International Conference on Computational Science and Computational Intelligence (CSCI). IEEE, 2021: 747-752.

[4]Chawla A. Pegasus Spyware–'A Privacy Killer'[J]. Available at SSRN 3890657, 2021.

[5]Technical analysis of SOVA android malware - muha2xmad[EB/OL] [Sept. 2022]https://muha2xmad.github.io/malware-analysis/sova/

[6]SOVA malware is back and is evolving rapidly[EB/OL] [Aug. 2022] https://www.cleafy.com/cleafy-labs/sova-malware-is-back-and-is-evolving-rapidly

[7]Android banking Trojan SOVA Comes Back With New Features Including Ransomware [EB/OL] [Aug. 2022] https://www.infosecurity-magazine.com/news/android-banking-trojan-sova-back/

[8]TangleBot:New Advanced SMS Malware Targets Mobile Users Across U.S. and Canada with COVID-19 Lures [EB/OL] [Sept. 2021] https://www.cloudmark.com/en/blog/malware/tanglebot-new-advanced-sms-malware-targets-mobile-users-across-us-and-canada-covid-19

[9]TangleBot:Android Malware You Need To Know About [EB/OL] [May. 2022] https://tweaklibrary.com/tanglebot-android-malware/

[10]Mobile Malware:TangleBot untangled [EB/OL] [Oct. 2021] https://www.proofpoint.com/us/blog/threat-insight/mobile-malware-tanglebot-untangled

[11]G DATA Mobile Malware Report: Criminals keep up the pace with Android malware [EB/OL] [Oct. 2021] https://www.gdatasoftware.com/news/2021/10/37093-g-data-mobile-malware-report-criminals-keep-up-the-pace-with-android-malware

[12] 王思遠(yuǎn), 張仰森, 曾健榮, 等. Android 惡意軟件檢測方法綜述[J]. 計(jì)算機(jī)應(yīng)用與軟件, 2021, 38: 9.

[13]Kouliaridis V, Kambourakis G. A comprehensive survey on machine learning techniques for android malware detection[J]. Information, 2021, 12(5): 185.

[14]2022年上半年度中國手機(jī)安全狀況報(bào)告 [EB/OL] [Aug. 2022]  https://pop.shouji.#/safe_report/Mobile-Security-Report-202206.pdf?