Android平臺的惡意攻擊、檢測與防護(hù)
Android平臺惡意攻擊事件
2017年7月,安全公司Palo Alto Networks報告了一款在中國流行的針對中國用戶的新型Android惡意木馬SpyDealer。該惡意程序通過被入侵的無線網(wǎng)絡(luò)進(jìn)行傳播。一旦感染,能夠從微信、QQ、微博等40余款流行應(yīng)用程序中竊取用戶敏感信息,給用戶造成嚴(yán)重的隱私損失。除了SpyDealer,過去的一年以來爆發(fā)了大量基于Android平臺的惡意攻擊事件。
HummingBad惡意軟件
2016年7月,一份來自安全公司Checkpoint的報告指出,新發(fā)現(xiàn)的一個名為HummingBad的惡意軟件感染了全世界多達(dá)1000萬臺Android設(shè)備。HummingBad由一些惡意組件組合而成,其中許多組件都是具有相同功能的惡意代碼的不同變種。當(dāng)被感染的應(yīng)用程序安裝在Android設(shè)備后,這些惡意組件會動態(tài)地下載到設(shè)備上,并在安裝成功后在設(shè)備上彈出帶有 “關(guān)閉” 按鈕的廣告橫幅。實際上,點擊該按鈕并不能關(guān)閉廣告。報告指出HummingBad惡意軟件為攻擊者帶來了每月高達(dá)300000美元的收入。
Gooligan惡意軟件
2016年12月,安全公司Checkpoint爆料一款名為Gooligan的新型惡意軟件已經(jīng)入侵了超過100萬Google賬戶,并且在以每日感染13000個設(shè)備的速度蔓延,這是有史以來最嚴(yán)重的Google賬戶被黑事件。Gooligan通過感染合法的應(yīng)用程序,誘惑用戶下載,一旦安裝植入到Android設(shè)備上,就會竊取用戶敏感信息,包括:Google賬戶和身份驗證token信息等,并回傳到攻擊者的服務(wù)器。除此之外,Gooligan會從服務(wù)器傻瓜下載rootkit,利用Android系統(tǒng)漏洞(如:VROOT和Towelroot)獲取設(shè)備的root權(quán)限,從而徹底控制設(shè)備。
ViperRAT惡意軟件
據(jù)Lookout和卡巴斯基等安全公司報告,一款名為ViperRAT的惡意軟件正在入侵以色列軍隊士兵的Android手機(jī),從而監(jiān)控其活動并竊取有關(guān)數(shù)據(jù),包括照片、錄音資料、短信息、通信錄及設(shè)備位置等隱私數(shù)據(jù)。截至2017年2月,超過100名使用三星、HTC、LG和華為等品牌的以色列軍人的Android手機(jī)都遭到攻擊,并有近9000份文件被盜。
Judy惡意軟件
2017年5月,安全公司Checkpoint披露了十幾款利用惡意廣告點擊軟件感染用戶設(shè)備的Android惡意應(yīng)用,其中甚至有惡意應(yīng)用已經(jīng)在Google Play應(yīng)用商店上線一年以上。Checkpoint指出這些惡意應(yīng)用可能已經(jīng)感染了3650萬用戶的手機(jī),有望成為Google Play應(yīng)用商店目前發(fā)現(xiàn)的傳播最廣泛的惡意應(yīng)用。這些惡意應(yīng)用主要包含在一系列名為Judy的休閑烹飪和時裝游戲中,在安裝后通過動態(tài)加載惡意程序,使用被感染的手機(jī)點擊廣告,從而為攻擊者創(chuàng)造不正當(dāng)?shù)慕?jīng)濟(jì)收入。
惡意攻擊的發(fā)展與危害
下圖是防病毒軟件公司G Data做出的近五年Android平臺惡意軟件增長情況統(tǒng)計表。該公司指出,2017年第一季度Android手機(jī)端出現(xiàn)了超過75萬個新型惡意應(yīng)用,并預(yù)測到2017年底,Android手機(jī)端惡意應(yīng)用總數(shù)將會增長到350萬。報告進(jìn)一步指出,Android惡意應(yīng)用急速增長主要原因是第三方手機(jī)制造商廣泛,導(dǎo)致Android操作系統(tǒng)碎片化更為嚴(yán)重。
近五年Android平臺惡意軟件增長情況
惡意應(yīng)用利用通訊錄、信息、網(wǎng)頁瀏覽歷史和銀行證書等手段進(jìn)行用戶敏感信息竊取、設(shè)備資源消耗、非法收益獲取和僵尸網(wǎng)絡(luò)創(chuàng)建等違法操作,給用戶帶來了經(jīng)濟(jì)損失和隱私泄露等問題。從國家安全層面而言,通過給移動智能終端隱蔽植入惡意應(yīng)用,可以獲取敏感信息,再輔助以強(qiáng)大的后臺同步分析,很容易獲取涉及國家的經(jīng)濟(jì)、政治等敏感信息,甚至通過移動智能終端散布謠言、傳播危險信息,這使得國家對敏感信息資源生產(chǎn)、傳播和監(jiān)管的能力面臨嚴(yán)峻挑戰(zhàn)。
當(dāng)前主流的檢測與防護(hù)措施
目前,國內(nèi)外學(xué)術(shù)界和產(chǎn)業(yè)界對Android系統(tǒng)的安全機(jī)制,惡意應(yīng)用攻擊技術(shù)、惡意應(yīng)用檢測技術(shù)及惡意應(yīng)用防護(hù)技術(shù)展開了深入的研究,產(chǎn)生了大量的學(xué)術(shù)成果和商業(yè)產(chǎn)品,在一定程度上緩解了惡意應(yīng)用的傳播。
檢測技術(shù)
Android平臺的惡意應(yīng)用檢測技術(shù)主要分為靜態(tài)檢測技術(shù)和動態(tài)檢測技術(shù)。靜態(tài)檢測通過分析應(yīng)用源代碼和二進(jìn)制文件。因為不需要執(zhí)行應(yīng)用,所以不易被惡意軟件察覺,在分析過程中,惡意軟件不會隱藏其惡意行為,具有代碼覆蓋率高的優(yōu)點。當(dāng)前大部分的病毒掃描類安全軟件采用的是基于特征碼的檢測技術(shù)。當(dāng)某種病毒出現(xiàn)時,安全人員從該程序中截取一段獨一無二且足以代表該程序的代碼,以此作為判別該病毒的依據(jù)。特征碼一般包括MD5、校驗碼和字符串三種格式。雖然基于特征碼的檢測技術(shù)能夠準(zhǔn)確地檢測已知的惡意軟件,并使用較少的計算資源,但不能檢測未知的惡意軟件或惡意軟件的變體。簽名提取的過程需要人工參與,效率不高,同時很難保持簽名的有效性,不斷地更新簽名會消耗移動設(shè)備有限的存儲資源。
當(dāng)惡意軟件采取代碼混淆或加密等技術(shù)時,靜態(tài)檢測技術(shù)往往無能為力。這時候就需要真實執(zhí)行應(yīng)用程序,獲取其輸出或內(nèi)部狀態(tài)等信息進(jìn)行分析。動態(tài)檢測通常是在真實或虛擬的測試環(huán)境(即沙箱)當(dāng)中進(jìn)行,借助各種條件對惡意應(yīng)用樣本進(jìn)行激活,通過對運(yùn)行過程中樣本產(chǎn)生的所有行為模式監(jiān)控,觀察其執(zhí)行流程及數(shù)據(jù)變化,從而判斷其安全性。
防護(hù)技術(shù)
基于主機(jī)的入侵防御系統(tǒng)在后臺運(yùn)行,并在應(yīng)用運(yùn)行的過程中實現(xiàn)動態(tài)監(jiān)控。一旦發(fā)現(xiàn)可疑行為,將會彈窗提醒用戶。然而,該類HIPS往往基于對敏感API調(diào)用的監(jiān)控,大量的安全應(yīng)用程序也會調(diào)用該類API。這就導(dǎo)致了一定的誤報率。同時,頻繁的彈窗提醒會影響用戶的操作體驗。
趨勢
將大數(shù)據(jù)技術(shù)應(yīng)用到Android平臺惡意應(yīng)用的檢測和防護(hù)中是當(dāng)前的發(fā)展趨勢。一方面,通過對全網(wǎng)所有Android應(yīng)用進(jìn)行爬取、分析、統(tǒng)計和不斷更新,實時準(zhǔn)確地反映全網(wǎng)Android應(yīng)用安全態(tài)勢,從而構(gòu)建Android平臺應(yīng)用安全監(jiān)測和管理的大數(shù)據(jù)平臺。另一方面,針對Android惡意應(yīng)用檢測,可以通過采集海量的Android應(yīng)用(包括來自惡意應(yīng)用庫的惡意應(yīng)用,以及來自官方電子市場的安全應(yīng)用),提取其靜態(tài)特征與動態(tài)特征,構(gòu)建基于大數(shù)據(jù)技術(shù)的機(jī)器學(xué)習(xí)模型,從而實現(xiàn)對Android惡意應(yīng)用的判別。
【本文為51CTO專欄作者“中國保密協(xié)會科學(xué)技術(shù)分會”原創(chuàng)稿件,轉(zhuǎn)載請聯(lián)系原作者】
