计算机安全人员试图通过追踪Android市场应用恶意软件的“数字指纹”,找出恶意攻击是如何形成的以及如何达成目的。
谷歌表示在上周二晚删除恶意程序之前,共有58个“受感染”应用上传到Android市场,并被26万左右的设备下载。谷歌发言人说,目前还不清楚有多少用户启动了这些应用程序。但激活这些应用程序的用户可能会面临手机上个人数据被盗取并上传至远端服务器的风险,这些“受感染”应用包括---超级吉他独奏(Super Guitar Solo),超级条码扫描仪(Advanced Barcode Scanner),泡泡龙(Bubble Shoot)等等。
用于协助攻击的服务器是一条潜在线索。移动安全提供商Lookout公司总裁John Hering表示,基于该公司对该事件的调查,跟踪接受攻击“命令和控制“指令并用于存储被盗手机数据的服务器之后,追查到一家 位于加利福尼亚州弗里蒙特的互联网服务提供商---飓风电子(Hurricane Electric)。 Hering先生说,他的公司在发现该服务器在攻击中的重要作用,已于3月2日联系飓风电子并要求该公司关闭服务器。
3月9日,飓风电子 营销总监Benny Ng,确认该公司位于弗里蒙特 的服务器已关闭。不过,Ng先生说,该服务器并不直属飓风电子总部,而是下级经销商所有,并已通知并要求该经销商关闭服务器。Ng先生不愿透露经销商的名称,并表示飓风电子总部不能关闭该服务器,因为它没有登录权限。他说,“一般情况下,经销商都会主动配合,他们会遵守规定,并且已经关闭了该服务器“。
Ng先生没有说他的公司已经因为这次攻击而受到有关执法官员调查。但是,他明确表示公司经常收到因服务器损坏而寻求相关信息 的执法官员的传票。
“他们想知道是谁的服务器以及他们的联系信息,“Ng先生说。 “他们想知道费用信息,有时是某个帐户的电子邮件或其他联系方式。“
另一条调查人员正在追查的线索是, 一个德国安全工程师的博客。其中写道:大约两个软件被黑客改变用途以创建Android病毒DroidDream攻击。这位工程师没有对评论进行任何回复。
来自电脑安全公司Veracode的首席技术官Chris Wysopal说,“他绝对是一个好人,只是对Android平台和破解感兴趣“。越狱(系统破解)与Android病毒DroidDream攻击过程类似,是开发人员用来描述由一名程序员获得手机操作系统完整的“根“访问权限的术语。
Wysopal先生说,开发DroidDream的人可能是在blogspot.com的忠实读者,具有讽刺意味的是,该网站由谷歌拥有。 “谷歌服务器日志中会有所有访问过这个博客的登陆数据。“Wysopal先生说:“除了[互联网协议]的地址,他们还有储存在用户本地终端上的数据,因此如果访客是Blogger或BlogSpot的用户,就可以获得账户信息。“
当然,在发布这些恶意程序的开发商账户中也可以找到一些线索。 Reddit新闻网ID为Lompolo的用户,发现了第一款感染RoidDream 的应用实例,那是在他看到自己下载的应用有一款雷同软件之后。一款名叫 “Myournet“的应用,是另一个合法程序的盗版。
随后,Lookout称又发现了两个帐户---“kingmall2010“和”we20090202“ ,发布了更多的含有同样代码的应用程序。因为代码混淆和加密,找到恶意代码非常不容易,Hering先生说。
3月5日星期六,谷歌在博客中说,它已暂停了“相关开发者帐户,并开始有关此次袭击的法律程序“。
研究人员说,很难猜测此次攻击的意图,因为“感染”软件在手机中下载额外的软件时会被发现。不过,考虑到下载的数量和复杂的攻击,他们推测攻击者试图创建一个僵尸网络,用于发送垃圾邮件,发动联合攻击试图使服务器瘫痪,或散布收集密码和信用卡号码的后门软件等非法用途。
僵尸网络已经成为PC世界的现实,严重得会挟持5万至20万个终端设备。 安全供应商卡巴斯基实验室的高级研究员Denis Maslennikov,在3月3日公司博客上写道:“能够在设备上安装其他应用的能力,给病毒传播者一个赚钱的途径---在终端部署Adware或其他广告应用“。
【编辑推荐】