多年来,移动攻击与移动互联网经济如影随形,但值得警惕的是,近来随着更复杂功能更强大的移动攻击技术和恶意软件“进场”,移动攻击威胁正在迅速演变和升级。
随着犯罪分子和国家黑客不断探索新的方法在iPhone和安卓智能手机上安装高级功能的恶意程序,移动平台受到的威胁越来越大。
攻击者现在正在积极部署具有完整远程访问功能、模块化设计以及可对用户和公司构成重大威胁的具有蠕虫特征的恶意软件。其中许多恶意软件家族通过定期的开发更新不断改进,网络犯罪分子在绕过官方应用商店的审查程序方面也做得越来越好。与此同时,美国和欧盟都在考虑新的反垄断法规,可能使“侧载”(Side Load)应用程序成为消费者权利,这进一步增加了移动应用程序的安全风险。
以下是企业需要密切关注和积极应对的六种移动恶意软件策略:
1. 设备端欺诈(ODF)
最令人担忧的移动恶意软件新功能之一是能够直接从受害者的手机上发起和执行欺诈活动。这种先进的功能被称为设备端欺诈(ODF),已在最近的移动银行木马中检测到,其中最著名的是Octo、TeaBot、Vultur和Escobar。在Octo的案例中,恶意软件利用了安卓系统的MediaProjection服务(启用屏幕共享)和Accessibility Service(远程在设备上执行操作)。这种手动远程访问功能也已通过VNC查看器的实现启用,例如Escobar和Vultur。
ODF标志着移动攻击的重要转折点:攻击重点目标从凭据盗窃和数据泄露转向欺诈实施。值得注意的是,尽管大多数ODF木马主要用于实施金融盗窃,但这些模块也可被用于攻击对其他类型的企业账户和通信协作工具,例如Slack、Teams和Google Docs。
2. 通话重定向
另一个令人不安的功能是拦截合法电话,最近出现在Fakecalls银行木马中。
在这种攻击中,恶意软件可以在呼叫者不知情的情况下断开用户发起的通话呼叫连接,并将呼叫重定向到攻击者控制的另一个号码。由于呼叫屏幕继续显示合法电话号码,因此受害者无法知道他们已被转移到虚假呼叫服务。恶意软件通过在应用程序安装期间获取呼叫处理权限来实现这一点。
3. 通知直接回复功能滥用
今年2月,间谍软件FluBot(5.4版)引入了滥用Android通知直接回复的新功能,该功能允许恶意软件拦截并直接回复其目标应用程序中的推送通知。此功能在其他移动恶意软件中也被发现,包括Medusa和Sharkbot。
这种独特的功能允许恶意软件签署欺诈性金融交易、拦截双因素身份验证码并修改推送通知。此功能还可通过向社交软件通知发送自动恶意响应,以类似蠕虫的方式将恶意软件传播给受害者的联系人,这种策略被称为“推送消息网络钓鱼”。
4. 域生成算法
Sharkbot银行木马还有一个值得注意的特性:域生成算法(DGA,可以用来逃避检测。与其他具备DGA算法的传统恶意软件一样,移动恶意软件不断为其命令和控制(C2)服务器创建新的域名和IP地址,这使得安全团队难以检测和阻止恶意软件。
5. 绕过官方应用商店检测
苹果和安卓的官方应用商店的应用程序审查流程一直是恶意软件与审查者玩猫捉老鼠游戏的地方,但最近的一些网络犯罪新策略值得注意。例如,CryptoRom犯罪活动滥用苹果公司的TestFlight
beta测试平台和Web Clips功能,通过完全绕过App Store将恶意软件发送给iPhone用户。一名犯罪分子用另一种方法成功绕过了Google Play的安全审核流程,该犯罪分子向开发人员付费以在其应用程序中使用其恶意SDK,然后窃取用户的个人数据。
dropper在移动恶意软件分发中变得越来越普遍,研究人员最近注意到这些服务以及其他分发参与者在地下市场的活动有所增加。
6. 更精细的开发实践
模块化恶意软件设计并不新鲜,更可怕的是攻击者还在开发具有高级更新功能的安卓银行木马,例如最近发现的Xenomorph恶意软件。Xenomorph结合了模块化设计、可访问性引擎、基础设施和C2协议,以提供重要的更新功能,使其成为更先进的木马,包括自动传输系统(ATS)功能。展望未来,更多移动恶意软件系列将整合更好的更新流程,在受感染设备上启用增强功能和全新功能。
总结:针对性的防御策略
为了应对这些新的移动恶意软件策略和威胁,企业需要确保其网络安全计划包括强大的移动安全防御体系,其中包括移动设备管理解决方案、多因素身份验证和强大的员工访问控制。而且,由于移动恶意软件感染通常始于社会工程,因此公司应积极提供安全意识培训,并考虑部署技术监控移动攻击的通信渠道。