Android平臺的惡意攻擊、檢測與防護
Android平臺惡意攻擊事件
2017年7月,安全公司Palo Alto Networks報告了一款在中國流行的針對中國用戶的新型Android惡意木馬SpyDealer。該惡意程序通過被入侵的無線網絡進行傳播。一旦感染,能夠從微信、QQ、微博等40余款流行應用程序中竊取用戶敏感信息,給用戶造成嚴重的隱私損失。除了SpyDealer,過去的一年以來爆發了大量基于Android平臺的惡意攻擊事件。
HummingBad惡意軟件
2016年7月,一份來自安全公司Checkpoint的報告指出,新發現的一個名為HummingBad的惡意軟件感染了全世界多達1000萬臺Android設備。HummingBad由一些惡意組件組合而成,其中許多組件都是具有相同功能的惡意代碼的不同變種。當被感染的應用程序安裝在Android設備后,這些惡意組件會動態地下載到設備上,并在安裝成功后在設備上彈出帶有 “關閉” 按鈕的廣告橫幅。實際上,點擊該按鈕并不能關閉廣告。報告指出HummingBad惡意軟件為攻擊者帶來了每月高達300000美元的收入。
Gooligan惡意軟件
2016年12月,安全公司Checkpoint爆料一款名為Gooligan的新型惡意軟件已經入侵了超過100萬Google賬戶,并且在以每日感染13000個設備的速度蔓延,這是有史以來最嚴重的Google賬戶被黑事件。Gooligan通過感染合法的應用程序,誘惑用戶下載,一旦安裝植入到Android設備上,就會竊取用戶敏感信息,包括:Google賬戶和身份驗證token信息等,并回傳到攻擊者的服務器。除此之外,Gooligan會從服務器傻瓜下載rootkit,利用Android系統漏洞(如:VROOT和Towelroot)獲取設備的root權限,從而徹底控制設備。
ViperRAT惡意軟件
據Lookout和卡巴斯基等安全公司報告,一款名為ViperRAT的惡意軟件正在入侵以色列軍隊士兵的Android手機,從而監控其活動并竊取有關數據,包括照片、錄音資料、短信息、通信錄及設備位置等隱私數據。截至2017年2月,超過100名使用三星、HTC、LG和華為等品牌的以色列軍人的Android手機都遭到攻擊,并有近9000份文件被盜。
Judy惡意軟件
2017年5月,安全公司Checkpoint披露了十幾款利用惡意廣告點擊軟件感染用戶設備的Android惡意應用,其中甚至有惡意應用已經在Google Play應用商店上線一年以上。Checkpoint指出這些惡意應用可能已經感染了3650萬用戶的手機,有望成為Google Play應用商店目前發現的傳播最廣泛的惡意應用。這些惡意應用主要包含在一系列名為Judy的休閑烹飪和時裝游戲中,在安裝后通過動態加載惡意程序,使用被感染的手機點擊廣告,從而為攻擊者創造不正當的經濟收入。
惡意攻擊的發展與危害
下圖是防病毒軟件公司G Data做出的近五年Android平臺惡意軟件增長情況統計表。該公司指出,2017年第一季度Android手機端出現了超過75萬個新型惡意應用,并預測到2017年底,Android手機端惡意應用總數將會增長到350萬。報告進一步指出,Android惡意應用急速增長主要原因是第三方手機制造商廣泛,導致Android操作系統碎片化更為嚴重。
近五年Android平臺惡意軟件增長情況
惡意應用利用通訊錄、信息、網頁瀏覽歷史和銀行證書等手段進行用戶敏感信息竊取、設備資源消耗、非法收益獲取和僵尸網絡創建等違法操作,給用戶帶來了經濟損失和隱私泄露等問題。從國家安全層面而言,通過給移動智能終端隱蔽植入惡意應用,可以獲取敏感信息,再輔助以強大的后臺同步分析,很容易獲取涉及國家的經濟、政治等敏感信息,甚至通過移動智能終端散布謠言、傳播危險信息,這使得國家對敏感信息資源生產、傳播和監管的能力面臨嚴峻挑戰。
當前主流的檢測與防護措施
目前,國內外學術界和產業界對Android系統的安全機制,惡意應用攻擊技術、惡意應用檢測技術及惡意應用防護技術展開了深入的研究,產生了大量的學術成果和商業產品,在一定程度上緩解了惡意應用的傳播。
檢測技術
Android平臺的惡意應用檢測技術主要分為靜態檢測技術和動態檢測技術。靜態檢測通過分析應用源代碼和二進制文件。因為不需要執行應用,所以不易被惡意軟件察覺,在分析過程中,惡意軟件不會隱藏其惡意行為,具有代碼覆蓋率高的優點。當前大部分的病毒掃描類安全軟件采用的是基于特征碼的檢測技術。當某種病毒出現時,安全人員從該程序中截取一段獨一無二且足以代表該程序的代碼,以此作為判別該病毒的依據。特征碼一般包括MD5、校驗碼和字符串三種格式。雖然基于特征碼的檢測技術能夠準確地檢測已知的惡意軟件,并使用較少的計算資源,但不能檢測未知的惡意軟件或惡意軟件的變體。簽名提取的過程需要人工參與,效率不高,同時很難保持簽名的有效性,不斷地更新簽名會消耗移動設備有限的存儲資源。
當惡意軟件采取代碼混淆或加密等技術時,靜態檢測技術往往無能為力。這時候就需要真實執行應用程序,獲取其輸出或內部狀態等信息進行分析。動態檢測通常是在真實或虛擬的測試環境(即沙箱)當中進行,借助各種條件對惡意應用樣本進行激活,通過對運行過程中樣本產生的所有行為模式監控,觀察其執行流程及數據變化,從而判斷其安全性。
防護技術
基于主機的入侵防御系統在后臺運行,并在應用運行的過程中實現動態監控。一旦發現可疑行為,將會彈窗提醒用戶。然而,該類HIPS往往基于對敏感API調用的監控,大量的安全應用程序也會調用該類API。這就導致了一定的誤報率。同時,頻繁的彈窗提醒會影響用戶的操作體驗。
趨勢
將大數據技術應用到Android平臺惡意應用的檢測和防護中是當前的發展趨勢。一方面,通過對全網所有Android應用進行爬取、分析、統計和不斷更新,實時準確地反映全網Android應用安全態勢,從而構建Android平臺應用安全監測和管理的大數據平臺。另一方面,針對Android惡意應用檢測,可以通過采集海量的Android應用(包括來自惡意應用庫的惡意應用,以及來自官方電子市場的安全應用),提取其靜態特征與動態特征,構建基于大數據技術的機器學習模型,從而實現對Android惡意應用的判別。
【本文為51CTO專欄作者“中國保密協會科學技術分會”原創稿件,轉載請聯系原作者】
