Android平台恶意攻击事件
2017年7月,安全公司Palo Alto Networks报告了一款在中国流行的针对中国用户的新型Android恶意木马SpyDealer。该恶意程序通过被入侵的无线网络进行传播。一旦感染,能够从微信、QQ、微博等40余款流行应用程序中窃取用户敏感信息,给用户造成严重的隐私损失。除了SpyDealer,过去的一年以来爆发了大量基于Android平台的恶意攻击事件。
HummingBad恶意软件
2016年7月,一份来自安全公司Checkpoint的报告指出,新发现的一个名为HummingBad的恶意软件感染了全世界多达1000万台Android设备。HummingBad由一些恶意组件组合而成,其中许多组件都是具有相同功能的恶意代码的不同变种。当被感染的应用程序安装在Android设备后,这些恶意组件会动态地下载到设备上,并在安装成功后在设备上弹出带有 “关闭” 按钮的广告横幅。实际上,点击该按钮并不能关闭广告。报告指出HummingBad恶意软件为攻击者带来了每月高达300000美元的收入。
Gooligan恶意软件
2016年12月,安全公司Checkpoint爆料一款名为Gooligan的新型恶意软件已经入侵了超过100万Google账户,并且在以每日感染13000个设备的速度蔓延,这是有史以来最严重的Google账户被黑事件。Gooligan通过感染合法的应用程序,诱惑用户下载,一旦安装植入到Android设备上,就会窃取用户敏感信息,包括:Google账户和身份验证token信息等,并回传到攻击者的服务器。除此之外,Gooligan会从服务器傻瓜下载rootkit,利用Android系统漏洞(如:VROOT和Towelroot)获取设备的root权限,从而彻底控制设备。
ViperRAT恶意软件
据Lookout和卡巴斯基等安全公司报告,一款名为ViperRAT的恶意软件正在入侵以色列军队士兵的Android手机,从而监控其活动并窃取有关数据,包括照片、录音资料、短信息、通信录及设备位置等隐私数据。截至2017年2月,超过100名使用三星、HTC、LG和华为等品牌的以色列军人的Android手机都遭到攻击,并有近9000份文件被盗。
Judy恶意软件
2017年5月,安全公司Checkpoint披露了十几款利用恶意广告点击软件感染用户设备的Android恶意应用,其中甚至有恶意应用已经在Google Play应用商店上线一年以上。Checkpoint指出这些恶意应用可能已经感染了3650万用户的手机,有望成为Google Play应用商店目前发现的传播最广泛的恶意应用。这些恶意应用主要包含在一系列名为Judy的休闲烹饪和时装游戏中,在安装后通过动态加载恶意程序,使用被感染的手机点击广告,从而为攻击者创造不正当的经济收入。
恶意攻击的发展与危害
下图是防病毒软件公司G Data做出的近五年Android平台恶意软件增长情况统计表。该公司指出,2017年第一季度Android手机端出现了超过75万个新型恶意应用,并预测到2017年底,Android手机端恶意应用总数将会增长到350万。报告进一步指出,Android恶意应用急速增长主要原因是第三方手机制造商广泛,导致Android操作系统碎片化更为严重。
近五年Android平台恶意软件增长情况
恶意应用利用通讯录、信息、网页浏览历史和银行证书等手段进行用户敏感信息窃取、设备资源消耗、非法收益获取和僵尸网络创建等违法操作,给用户带来了经济损失和隐私泄露等问题。从国家安全层面而言,通过给移动智能终端隐蔽植入恶意应用,可以获取敏感信息,再辅助以强大的后台同步分析,很容易获取涉及国家的经济、政治等敏感信息,甚至通过移动智能终端散布谣言、传播危险信息,这使得国家对敏感信息资源生产、传播和监管的能力面临严峻挑战。
当前主流的检测与防护措施
目前,国内外学术界和产业界对Android系统的安全机制,恶意应用攻击技术、恶意应用检测技术及恶意应用防护技术展开了深入的研究,产生了大量的学术成果和商业产品,在一定程度上缓解了恶意应用的传播。
检测技术
Android平台的恶意应用检测技术主要分为静态检测技术和动态检测技术。静态检测通过分析应用源代码和二进制文件。因为不需要执行应用,所以不易被恶意软件察觉,在分析过程中,恶意软件不会隐藏其恶意行为,具有代码覆盖率高的优点。当前大部分的病毒扫描类安全软件采用的是基于特征码的检测技术。当某种病毒出现时,安全人员从该程序中截取一段独一无二且足以代表该程序的代码,以此作为判别该病毒的依据。特征码一般包括MD5、校验码和字符串三种格式。虽然基于特征码的检测技术能够准确地检测已知的恶意软件,并使用较少的计算资源,但不能检测未知的恶意软件或恶意软件的变体。签名提取的过程需要人工参与,效率不高,同时很难保持签名的有效性,不断地更新签名会消耗移动设备有限的存储资源。
当恶意软件采取代码混淆或加密等技术时,静态检测技术往往无能为力。这时候就需要真实执行应用程序,获取其输出或内部状态等信息进行分析。动态检测通常是在真实或虚拟的测试环境(即沙箱)当中进行,借助各种条件对恶意应用样本进行激活,通过对运行过程中样本产生的所有行为模式监控,观察其执行流程及数据变化,从而判断其安全性。
防护技术
基于主机的入侵防御系统在后台运行,并在应用运行的过程中实现动态监控。一旦发现可疑行为,将会弹窗提醒用户。然而,该类HIPS往往基于对敏感API调用的监控,大量的安全应用程序也会调用该类API。这就导致了一定的误报率。同时,频繁的弹窗提醒会影响用户的操作体验。
趋势
将大数据技术应用到Android平台恶意应用的检测和防护中是当前的发展趋势。一方面,通过对全网所有Android应用进行爬取、分析、统计和不断更新,实时准确地反映全网Android应用安全态势,从而构建Android平台应用安全监测和管理的大数据平台。另一方面,针对Android恶意应用检测,可以通过采集海量的Android应用(包括来自恶意应用库的恶意应用,以及来自官方电子市场的安全应用),提取其静态特征与动态特征,构建基于大数据技术的机器学习模型,从而实现对Android恶意应用的判别。
【本文为51CTO专栏作者“中国保密协会科学技术分会”原创稿件,转载请联系原作者】
