最近几年,针对Windows平台开发的恶意软件工具包发展地很迅速,恶意软件编写者不断增加新的功能,提供更强大的自动化。虽然企业安全团队受到了这些先进工具包的挑战,但是至少他们明白Windows是企业关键数字资产的主要通道,并努力确保这条大道的安全性。尽管企业终端移动设备掀起了大浪潮,Windows还是王国的大门,恶意软件编写者针对这个平台投入了大量的野心。Obad.a,一种新发现的Android系统恶意软件,可能改变这个认知。
在这篇文章中,我们将讨论Obad.a为什么值得关注?它和基于Windows系统的恶意软件有什么共同点和区别?企业可以怎样减轻这种针对Android设备的先进新品种恶意软件的伤害?
解剖Obad.a
卡巴斯基实验室(Kaspersky Lab)的研究人员是最先揭露Obad.a的具体资料的团队,他们将Obad.a和基于Windows的恶意软件相比较,至少目前为止,大家都普遍认为Obad.a比之前出现在移动平台的任意恶意软件都要复杂。回顾卡巴斯基研究人员的发现,可以很容易看到他们对Obad.a和基于Windows恶意软件所作出的对比并不夸张。Obad.a包含一些最先进的Windows恶意软件所具有的的特点:它可以发送优惠短信(类似于垃圾邮件),下载其他恶意软件,在受感染的设备上运行命令,还可以通过蓝牙连接攻击其它设备。卡巴斯基实验室的更新报告中概述了Obad.a是如何传播恶意短信的。
所有恶意软件作者都从现有的恶意软件和漏洞中汲取灵感,然后仔细思考,在他一直尝试实现的功能基础上为他们的恶意软件添加一些特定性能,所以移动设备恶意软件编写者会仔细研究成功的Windows恶意软件来找寻新的特性这并不奇怪。现在各种恶意软件作者开始使用专业的软件开发实践工具,开发新功能的程序都是模块化的。在许多传统的软件开发工程中,编程环境都从一些程序员的经验中抽象出一些平台和操作系统的复杂功能,以帮助发展新的平台和操作系统。
虽然Android设备上的恶意软件非常普遍,这是在信息安全界众所周知的事实,但是并没有多少安全专家意识到Android系统恶意软件作者已经开始将Windows恶意软件上的一些先进功能移植到移动设备上。Obad.a的作者通过将文件中的字符串加密,混淆代码,使代码转换成Java编码更困难,这样分析Obad.a恶意软件二进制文件也就变得更困难。
Obad.a还利用两个零日漏洞来进一步阻碍分析,保持文件和未列出的恶意软件相关联,并将自己本身藏在拥有设备管理员访问权限的应用程序列表之外。Obad.a会检查受感染的设备是否拥有网络访问权限,如果有,它会下载Facebook主页面然后将其作为C&C(命令与控制)地址的解密密钥。Obad.a有一个远程外壳可以连接到C&C的基础设施,然后可以自我更新来添加新的功能。Obad.a还可以监控短信,并执行各种命令。
说了这么多,其实Obad.a目前对于企业来说风险还是较低,经过卡巴斯基检测,其在所有Android恶意软件感染实例中只占了0.15%。虽然一般的Windows恶意软件和这种新的Android恶意软件之间有很多共同点,但是Obad.a还是缺少一些近几年针对Windows系统开发的最先进的功能。这些最先进的操作包括使用一些方法来骗过安装在设备上的安全监测工具,以达到提取存储密码,捕获文本输入、密码和其它敏感数据的能力。
如何处理先进的Android恶意软件
Obad.a可能仅仅代表目前各种Android设备的恶意软件的一小部分,但是企业必须意识到日益复杂的移动设备恶意软件的威胁性。不幸的是,分散的Android生态系统对于广泛开发的Android漏洞提供的保护很有限,几乎是没有保护。Android生态系统的这种分散性,加上对移动运营商修补补丁的依赖使应用补丁去修补Android系统恶意软件所引发的漏洞是很困难的。
这时,第三方工具就可以派上用场来保护Android设备,如反恶意软件的软件或安全监控。企业或个人可能想要调查第三方补丁在Android设备或者自定义光盘上的应用,或它曾经修复过的漏洞。但是,应用第三方补丁可能会造成不可预见的问题,比如稳定性、支持性甚至潜在的系统安全性,就像应用在Windows系统上的第三方补丁所遇到的类似问题。其实,补丁的复杂性和没有一个移动设备管理系统来管理Android设备都有可能比Obad.a恶意软件所带来的风险大。
归根结底,企业应该采取US-CERT(美国计算机安全紧急应变小组)所列出的一些标准步骤来保护移动设备对抗Obad.a恶意软件,同时也要提高用户的基本安全意识。根据卡巴斯基的第一份研究报告,Obad.a可以提供的唯一可用功能是允许一个受感染设备通过蓝牙来攻击另一个设备,那么可以通过禁用蓝牙或只在值得信赖的环境下启用蓝牙就可以消除这种攻击。提高用户的安全意识,他们就不会点击潜在的恶意短信链接,那么也可以阻止Obad.a的蔓延。在企业环境中阻止Obad.a的蔓延还有一条很漫长的路要走。