?1、Android惡意軟件概述

Android惡意軟件是當前移動互聯網上最大的安全威脅之一，是一種惡意侵入性軟件程序，包括但不限于病毒、蠕蟲、間諜軟件、網絡釣魚、勒索軟件和鍵盤記錄器等。攻擊者通過不同手段將惡意軟件分發到互聯網上進行傳播，給公眾的個人信息安全、財產安全以及企事業單位的信息安全帶來了嚴重威脅。

1.1總體態勢

根據《2021年360移動應用安全觀測報告》顯示，全年累計監測到含有惡意行為的應用300551款。這些惡意程序廣泛分布于第三方應用商店。其中，存在惡意行為的游戲類應用數量占全國惡意應用總量的31.45%，位居第一。其他的惡意應用類型包括金融理財類、生活實用類以及咨詢閱讀類等。

同年，卡巴斯基團隊檢測到3464756個惡意安裝包。其中包括銀行木馬97661個，勒索病毒木馬17372個。此外，受移動惡意軟件攻擊的手機用戶中，中國的手機用戶占比高達28%，位居世界第二。這些數量龐大的惡意軟件嚴重危害到個人隱私、經濟利益乃至國家安全。

1.2 Android惡意軟件行為分布

目前Android平臺的惡意軟件行為以隱私竊取、惡意扣費和資費消耗等類型為主。用戶在享受應用程序帶來的便利的同時，不易察覺到惡意軟件帶來的潛在風險。以下是幾種典型的惡意行為：

（1）  未明確提示用戶或未經用戶許可，收集用戶信息，包括姓名、生日、身份證、住址、電話號等；

（2）  竊取用戶隱私數據，如電子郵件、聊天記錄、賬號密碼和銀行卡信息等，進而對用戶銀行賬戶進行攻擊；

（3）  控制設備進行音頻和視頻采集，獲取地理位置信息，對用戶和周邊環境進行實時監控；

（4）  未提供通用的卸載方式，或在不受其他軟件影響、人為破壞的情況下，卸載后仍活動或殘存程序；

（5）  誘導用戶發送付費短信或購買付費應用，造成經濟損失；

長期運行在后臺，占用系統資源，消耗設備電量，實施挖礦、刷流量等行為。

2、Android惡意代碼的技術演進

2.1    傳播技術

Android平臺的惡意軟件傳播通常以誘導用戶操作的方式觸發惡意行為，以下是幾種典型誘導用戶操作的傳播方式：

（1）  惡意軟件：攻擊者將惡意軟件偽裝成常用應用程序并上傳到應用商店，誘導用戶下載；

（2）  惡意鏈接：攻擊者向目標用戶發送包含惡意鏈接的電子郵件、短信或二維碼，誘導用戶點擊或掃描，之后會自動下載并安裝惡意軟件；

（3）  惡意廣告：攻擊者將惡意鏈接隱藏到在線廣告中，用戶通過點擊“X”來關閉惡意廣告可能會跳轉到非法網站。

近年來，有惡意應用能夠實現主動傳播，例如ADB.Miner挖礦木馬通過網絡端口掃描技術來進行自我復制和傳播：利用端口 5555 上可公開訪問的 ADB 調試端口，掃描并感染各種安卓設備，以此來進行傳播。

此外，一些新型Android惡意軟件利用“零點擊”漏洞進行攻擊，即攻擊者向目標發送惡意鏈接或短信，無需目標點擊，即可安裝惡意軟件并進行攻擊。為了實現零點擊攻擊，攻擊者會尋找手機操作系統或安裝在手機上的應用程序中的漏洞，然后使用隱藏的文本消息或圖像文件將代碼注入目標設備。一旦設備遭到入侵，用于利用該設備的消息就會自毀，從而消除攻擊的痕跡。

除了通過網絡傳播，還有基于物理接觸的傳播方式。攻擊者在充電寶里面添加了一些攻擊性的硬件或者篡改公共充電電纜。當移動設備接入被篡改的充電寶或者公共充電電纜時，攻擊者便可訪問設備，竊取用戶數據，甚至進行勒索。

2.2    攻擊實施技術

移動終端與計算機在體系結構、使用方式等方面具有相似性，例如可以下載安裝并運行應用程序，可以通過瀏覽器瀏覽網頁。因此，一些計算機上惡意代碼攻擊技術也逐漸應用于移動終端上，例如WebView覆蓋攻擊、DDoS攻擊等。除了以上這些傳統的攻擊手段，攻擊者根據Android系統的特性，針對Android應用程序的運行方式，研發出多種攻擊技術。近幾年，Android平臺上的惡意軟件技術日趨成熟，其典型的實施方式包括以下幾大類：

（1）竊密類攻擊

竊密類軟件多見于特種木馬或銀行木馬。這一類軟件通常會偽裝成常用軟件，當用戶下載并安裝后，攻擊者就可以通過實時監控設備屏幕，并且根據用戶安裝的應用列表，獲取到已安裝的銀行應用，通過遠程控制指令下載對應的惡意代碼，并注入到銀行應用中。之后，誘導用戶輸入密碼、短信驗證碼等，最終導致用戶個人信息泄露，造成財產損失。

竊密類軟件通常會用到監聽和遠程控制技術：通過無障礙服務（AccessibilityServices）實時進行屏幕共享，跟蹤并記錄應用程序列表、應用程序包名，檢索并竊取用戶憑證和短信。

（2）勒索類攻擊

勒索類軟件又稱為“贖金木馬”。攻擊者將用戶設備鎖屏并修改密碼或者對目標數據進行加密后，要挾受感染的終端用戶支付贖金后，才能解鎖/解密被劫持的資源。

在Android平臺上，勒索軟件能夠成功運行的關鍵在于獲取設備管理器權限。這一權限原本是廠家開發手機防盜功能的一個接口，只要用戶安裝此類應用并激活設備管理器權限，便可以使用鎖定屏幕、重置密碼、監控密碼輸入、擦除數據等功能。因此，一旦用戶授予勒索軟件設備管理器權限，攻擊者就可以對用戶的手機進行鎖定并重置密碼。為了獲得這一權限，一些勒索軟件使用點擊提升技術：創建一個Activity來覆蓋激活設備管理器權限的界面。通過點擊虛假Activity中的按鍵，受害者無意間激活了設備管理器權限。

（3）挖礦類攻擊

Android平臺上的挖礦類軟件利用設備的CPU計算能力來挖掘電子貨幣。攻擊者首先通過挖礦木馬遠程控制用戶手機，然后使手機持續在后臺進行挖礦行為來為其牟利。其挖礦方式通常為使用礦池來進行挖礦，即嵌入開源的礦池代碼庫進行挖礦和使用礦池提供的瀏覽器JavaScript腳本進行挖礦。

2.3    自我保護技術

惡意代碼自我保護技術主要包括隱藏、偽裝以及對抗分析。攻擊者常將惡意軟件偽裝成游戲App或是防病毒App等合法應用，發布在應用商店誘使用戶下載。通過清空應用程序標簽并在安裝后使用透明圖標，實現應用的隱蔽安裝。采用對抗分析技術，例如動態加載、添加花指令以及對通信數據進行加密來抵抗殺毒軟件的自動化沙箱檢測和人工代碼分析。

3、Android惡意軟件樣本介紹

Android惡意軟件數量龐大，筆者選取了3款近年來引起社會廣泛關注且具有代表性的Android木馬進行說明介紹。

3.1 Pegasus（飛馬）

Pegasus是由以色列網絡武器公司NSO Group開發的間諜軟件。其攻擊范圍涉及全球50多個國家和地區，監控手機數量高達5萬臺。其中，包括了西班牙首相佩德羅·桑切斯、西班牙國防部長瑪格麗塔·羅伯斯、法國總統埃馬紐埃爾·馬克龍、伊拉克總統薩利赫和南非總統拉馬福薩在內10余位政界要員以及其他社會活動家、企業高管和媒體人士。

Pegasus攻擊行為包括從常用應用程序（如WhatsApp、Twitter、Gmail等）收集用戶數據，通過命令和控制服務器（Command and Control Server，C&C）利用短信、HTTP協議、MQTT協議等發送控制指令（控制設備發送短信、將用戶數據發送到服務器等），鍵盤鉤子（獲取用戶鍵盤輸入），調用麥克風、攝像頭捕獲用戶實時音頻視頻數據等。

圖1  飛馬攻擊過程示意圖

早期版本的Pegasus軟件會通過短信向用戶發送惡意URL并誘導用戶點擊，用戶點擊后下載軟件。軟件利用漏洞獲得root權限，進而獲取終端數據并執行相關操作。升級后的Pegasus發送短信后無需用戶點擊即可進行安裝提權，并通過讀取瀏覽器記錄或本地文件獲取配置信息。啟動后即可與C&C服務器進行隱蔽通信，收集并發送用戶隱私數據，且命令和數據都經過加密算法加密。

3.2 SOVA

SOVA 是2021年8月初ThreatFabric公司發現的新型Android 銀行木馬。SOVA在俄語中是貓頭鷹的意思，貓頭鷹作為夜行猛禽的代表，安靜但有效地跟蹤和捕獵目標。SOVA木馬的主要目標是獲取屏幕讀取權限，讀取和覆蓋鍵盤，控制通知欄。它的主要攻擊對象為美國、英國和俄羅斯的金融機構。

圖2 2021年9月公布的SOVA研發路線

研究人員一直密切關注這款Android銀行木馬的發展。2022年3月，SOVA已更新到第三代，并新增2FA攔截、cookie竊取和對多家銀行注入的功能。cookie竊取即攻擊者通過C&C服務器向目標終端發送“cookie stealer”指令，SOVA劫持用戶的瀏覽器會話，用虛假網頁替換真實網頁，在其登錄后竊取網站cookie。

圖3  SOVA進行cookie竊取示意圖

2022年7月，研究人員發現SOVA v4。與SOVA v3相比，SOVA開發者對其代碼結構進行優化，針對目標擴展到包括銀行應用程序和加密貨幣交易程序在內的200多個應用程序。其惡意行為包括竊取設備數據、獲取鍵盤輸入、SMS隱藏攔截、拒絕服務（DDoS）、中間人（MITM）攻擊和獲取攻擊目標的屏幕截圖等。SOVA可以抵抗卸載，當用戶想要進行程序卸載時，會重定向到主屏幕，并通過彈窗提示用戶“軟件安全”。最新的SOVA v5新增了勒索軟件（RANSOMSORT）功能，可用于破壞證據，對數字取證造成影響。

SOVA隱藏在假冒的 Android 應用程序中，通常使用一些著名應用程序的圖標，例如 Chrome、亞馬遜、NFT 平臺等。

圖4  SOVA可能使用的應用程序圖標

雖然目前SOVA v5仍在測試開發中，但其發展迅速，思路新穎，可能會成為其他Android銀行木馬的學習對象。

3.3 TangleBot

TangleBot于2021年9月被首次披露，主要針對美國和加拿大的Android用戶。攻擊者會向目標發送關于COVID-19疫苗接種信息、當地COVID-19政策信息和停電通知的短信，這些短信中包含相應的惡意鏈接。

圖5 TangleBot向目標用戶發送包含惡意鏈接的虛假短信

當用戶點擊短信中的惡意鏈接時，提示需升級Adobe Flash Player，當用戶按要求點擊升級并授權后，TangleBot就會被安裝到用戶手機。

圖6 TangleBot欺騙用戶升級Adobe Flash Player

安裝后，TangleBot將獲取SMS、CAMERA、CALL_PHONE等諸多權限。攻擊者可通過C&C服務器向目標終端發送控制通話和短信、記錄鍵盤輸入、調用相機和麥克風、屏幕截圖和獲取剪貼板等相關命令，從而控制用戶終端，收集用戶個人隱私數據。此外，TangleBot還可進行HTML注入，生成虛假界面，欺騙目標輸入個人信息。

4、總結與建議

目前，網絡上存在著大量的Android惡意軟件，同時還有新的惡意軟件在被不斷開發，網絡安全形勢依然嚴峻。針對Android惡意軟件的預防措施主要包括：

（1）從官方應用商店下載應用程序，避免從第三方網站下載應用程序；

（2）下載時盡可能選擇使用人數多，用戶評價好的應用程序；

（3）不相信、不下載“破解版”應用程序；

（4）不點擊通過短信、社交媒體等發送的未知鏈接；

（5）應用程序授權時，盡可能不授予如修改系統設置、讀寫剪貼板、讀寫聯系人等權限；

（6）應用處于未使用狀態時，盡可能關閉其相關權限；

（7）當系統或應用軟件提示“有新版本，可進行更新”時，盡可能進行系統和軟件更新，因為更新時可能會修復一些被惡意軟件利用的漏洞；

（8）使用安全公司提供的正版殺毒軟件或手機自帶的殺毒定期進行病毒查殺和手機軟件檢測。

參考文獻

[1]Mobile Security Review 2022. [EB/OL] [Jun. 2022] www.AV-COMPARATIVES.org

[2]2022 Golbal Mobile Threat Report – ZIMperium[EB/OL] https://www.zimperium.com/global-mobile-threat-report

[3]Rudie J D, Katz Z, Kuhbander S, et al. Technical analysis of the nso group’s pegasus spyware[C]//2021 International Conference on Computational Science and Computational Intelligence (CSCI). IEEE, 2021: 747-752.

[4]Chawla A. Pegasus Spyware–'A Privacy Killer'[J]. Available at SSRN 3890657, 2021.

[5]Technical analysis of SOVA android malware - muha2xmad[EB/OL] [Sept. 2022]https://muha2xmad.github.io/malware-analysis/sova/

[6]SOVA malware is back and is evolving rapidly[EB/OL] [Aug. 2022] https://www.cleafy.com/cleafy-labs/sova-malware-is-back-and-is-evolving-rapidly

[7]Android banking Trojan SOVA Comes Back With New Features Including Ransomware [EB/OL] [Aug. 2022] https://www.infosecurity-magazine.com/news/android-banking-trojan-sova-back/

[8]TangleBot:New Advanced SMS Malware Targets Mobile Users Across U.S. and Canada with COVID-19 Lures [EB/OL] [Sept. 2021] https://www.cloudmark.com/en/blog/malware/tanglebot-new-advanced-sms-malware-targets-mobile-users-across-us-and-canada-covid-19

[9]TangleBot:Android Malware You Need To Know About [EB/OL] [May. 2022] https://tweaklibrary.com/tanglebot-android-malware/

[10]Mobile Malware:TangleBot untangled [EB/OL] [Oct. 2021] https://www.proofpoint.com/us/blog/threat-insight/mobile-malware-tanglebot-untangled

[11]G DATA Mobile Malware Report: Criminals keep up the pace with Android malware [EB/OL] [Oct. 2021] https://www.gdatasoftware.com/news/2021/10/37093-g-data-mobile-malware-report-criminals-keep-up-the-pace-with-android-malware

[12] 王思遠, 張仰森, 曾健榮, 等. Android 惡意軟件檢測方法綜述[J]. 計算機應用與軟件, 2021, 38: 9.

[13]Kouliaridis V, Kambourakis G. A comprehensive survey on machine learning techniques for android malware detection[J]. Information, 2021, 12(5): 185.

[14]2022年上半年度中國手機安全狀況報告 [EB/OL] [Aug. 2022]  https://pop.shouji.360.cn/safe_report/Mobile-Security-Report-202206.pdf?