信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安全牛”。

近年來，隨著移動(dòng)互聯(lián)產(chǎn)業(yè)的興起，移動(dòng)應(yīng)用軟件（App）逐漸滲透到社會(huì)生活的各個(gè)領(lǐng)域，App種類和數(shù)量呈爆發(fā)式增長。第三方軟件開發(fā)包（SDK）、移動(dòng)應(yīng)用接口（API）、人臉識(shí)別等生物技術(shù)廣泛集成、應(yīng)用于移動(dòng)應(yīng)用軟件中，為日益豐富的企業(yè)化App功能、服務(wù)提供了更多技術(shù)解決方案。

然而，隨著更復(fù)雜、更新穎的惡意軟件攻擊方法出現(xiàn)，移動(dòng)業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)威脅也正在迅速演變，移動(dòng)應(yīng)用安全事件頻繁發(fā)生。調(diào)查數(shù)據(jù)顯示，2021年全球有接近四分之一的企業(yè)組織遭受過移動(dòng)端的黑客攻擊和數(shù)據(jù)泄漏，為企業(yè)造成了數(shù)十億美元的業(yè)務(wù)收入損失、修復(fù)成本和品牌聲譽(yù)損害等。

1

移動(dòng)應(yīng)用攻擊的新特點(diǎn)

研究機(jī)構(gòu)發(fā)現(xiàn)，移動(dòng)應(yīng)用攻擊正在不斷升級(jí)演變，對(duì)傳統(tǒng)企業(yè)安全帶來新的挑戰(zhàn)。以下是企業(yè)需要充分了解的移動(dòng)應(yīng)用攻擊新特點(diǎn)：

1.設(shè)備端欺詐

移動(dòng)應(yīng)用攻擊領(lǐng)域最令人不安的新動(dòng)向之一，是惡意軟件能夠直接控制受害者的終端設(shè)備來實(shí)施欺詐行為。這種攻擊方法被稱為設(shè)備端欺詐（ODF），它標(biāo)志著移動(dòng)應(yīng)用程序攻擊方式的一個(gè)重大轉(zhuǎn)變。此前，移動(dòng)應(yīng)用程序攻擊主要針對(duì)憑證竊取及其他類型的數(shù)據(jù)泄露，ODF出現(xiàn)以后，可以使攻擊者通過惡意軟件直接控制受害者的設(shè)備實(shí)施欺詐行為。

目前，安全人員已經(jīng)發(fā)現(xiàn)這種高級(jí)攻擊手法出現(xiàn)在移動(dòng)銀行木馬中，比如：Octo、TeaBot、Vultur和Escobar。以O(shè)cto為例，惡意軟件利用安卓的MediaProjection服務(wù)（用于啟用屏幕共享）和Accessibility Service（用于在設(shè)備上遠(yuǎn)程執(zhí)行操作），可以在用戶無感知的情況下操作手機(jī)設(shè)備實(shí)施非法活動(dòng)。

雖然大多數(shù)ODF木馬針對(duì)金融業(yè)務(wù)實(shí)施數(shù)據(jù)竊取，但這些模塊稍加改動(dòng)，就可以針對(duì)企業(yè)其他類型的賬戶和通訊工具，比如Slack、Teams和Google Docs展開攻擊。

2.電話呼叫重定向

另一個(gè)頗具危害的攻擊方法是電話呼叫重定向。研究人員在Fakecalls銀行木馬中，發(fā)現(xiàn)了攔截合法電話呼叫的攻擊手段，在這種攻擊中，攻擊者在應(yīng)用程序安裝期間獲得呼叫處理權(quán)限，通過惡意軟件使呼叫者在不知情的情況下，斷開用戶發(fā)起的呼叫連接，并將呼叫重定向至攻擊者控制的另一個(gè)號(hào)碼。由于呼叫屏幕繼續(xù)顯示合法電話號(hào)碼，因此受害者無法知道通話已被轉(zhuǎn)移到非法的呼叫對(duì)象，因此也不太可能采取相應(yīng)的安全措施，因此會(huì)給受害者造成較大的財(cái)產(chǎn)損失。

3.竊取通知直接回復(fù)功能

今年2月，F(xiàn)luBot間諜軟件（版本5.4）被曝出盜用安卓通知直接回復(fù)（Notification Direct Reply）功能的新手法，讓惡意軟件得以攔截并直接回復(fù)其目標(biāo)應(yīng)用程序中的推送通知。這項(xiàng)功能目前也出現(xiàn)在了其他移動(dòng)端惡意軟件中，包括Medusa和Sharkbot。這種攻擊模式讓惡意軟件可以攔截雙因素身份驗(yàn)證碼來實(shí)施欺詐性金融交易，并在需要時(shí)篡改通知的內(nèi)容。

此外，通知直接回復(fù)功能還可被用于通過向社交媒體應(yīng)用（比如WhatsApp和Facebook Messenger）發(fā)送自動(dòng)惡意響應(yīng)，以類似蠕蟲的方式將惡意軟件傳播給受害者的聯(lián)系人，這種手法名為“推送消息網(wǎng)絡(luò)釣魚”。

4.通過域生成算法規(guī)避檢測

DGA（Domain Generation Algorithm，域名生成算法）是一種傳統(tǒng)惡意軟件經(jīng)常使用的算法，可定期生成大量域名，讓C&C服務(wù)器更加隱蔽，降低攻擊發(fā)現(xiàn)幾率，增強(qiáng)僵尸網(wǎng)絡(luò)的魯棒性。今年初，Check Point公司的研究人員在谷歌官方應(yīng)用商店中發(fā)現(xiàn)了多個(gè)用于傳播Android SharkBot銀行木馬的惡意APP應(yīng)用，也開始采用DGA算法來躲避現(xiàn)有的移動(dòng)安全檢測工具。

黑白名單機(jī)制是一種應(yīng)對(duì)DGA非法域名創(chuàng)建的檢測方式，但是如果帶有DGA能力的移動(dòng)應(yīng)用攻擊軟件為其指揮和控制（C2）的服務(wù)器頻繁創(chuàng)建大量新域名和IP地址，這將給安全團(tuán)隊(duì)檢測和阻止惡意軟件帶來很大挑戰(zhàn)，因?yàn)槠髽I(yè)通常沒有能力每天都更新、維護(hù)域名黑名單庫。

5.繞過應(yīng)用程序商店審查

應(yīng)用程序商店的審查流程與惡意軟件開發(fā)人員一直在玩貓捉老鼠的游戲，不過，最近網(wǎng)絡(luò)犯罪的一些新手法似乎“更勝一籌”。比如，CryptoRom犯罪活動(dòng)利用了蘋果公司的TestFlight beta測試平臺(tái)和Web Clips功能的缺陷，成功繞過應(yīng)用程序商店的檢測，將惡意軟件分發(fā)到iPhone用戶。不僅是蘋果系統(tǒng)，一些網(wǎng)絡(luò)犯罪分子也成功繞過Google應(yīng)用商店的安全審查，通過收買合法應(yīng)用程序的開發(fā)者，在其中植入惡意SDK模塊來竊取用戶的個(gè)人數(shù)據(jù)。

6.惡意軟件功能模塊化、流程化

雖然采用模塊化方式設(shè)計(jì)惡意軟件已較為常見，但現(xiàn)在發(fā)現(xiàn)的移動(dòng)APP惡意程序開始有體系化的功能更新流程，比如近期發(fā)現(xiàn)的Xenomorph惡意軟件通過結(jié)合模塊化設(shè)計(jì)、可訪問性引擎、基礎(chǔ)架構(gòu)優(yōu)化和C2協(xié)議，已能夠?qū)崿F(xiàn)流程化的功能更新和版本迭代，使其危害性和攻擊能力更快速地增長，包括自動(dòng)傳輸系統(tǒng)（ATS）功能的實(shí)現(xiàn)。將來，更多的移動(dòng)惡意軟件家族會(huì)通過更完整的更新模式和流程，在受感染的移動(dòng)設(shè)備上不斷啟用全新的攻擊功能。

2

移動(dòng)應(yīng)用安全防護(hù)

移動(dòng)應(yīng)用攻擊正在成為網(wǎng)絡(luò)犯罪活動(dòng)的主戰(zhàn)場。大多數(shù)移動(dòng)應(yīng)用安全事件是由系統(tǒng)漏洞、不安全的編碼實(shí)踐，以及缺乏足夠的安全測試能力造成的。為了應(yīng)對(duì)這些新的移動(dòng)應(yīng)用攻擊手法，企業(yè)需要確保其網(wǎng)絡(luò)安全計(jì)劃中包含了全面的防御手段，包括移動(dòng)設(shè)備管理解決方案、多因素身份驗(yàn)證以及有效的員工訪問控制等。

此外，企業(yè)安全團(tuán)隊(duì)需要在移動(dòng)業(yè)務(wù)開發(fā)生命周期中加強(qiáng)對(duì)應(yīng)用的測試，更快地發(fā)現(xiàn)漏洞，同時(shí)監(jiān)控部署的所有移動(dòng)應(yīng)用，以降低發(fā)生重大移動(dòng)應(yīng)用安全事件的幾率。企業(yè)可以通過動(dòng)態(tài)移動(dòng)應(yīng)用安全測試、對(duì)移動(dòng)開發(fā)人員的更好培訓(xùn)以及更加重視移動(dòng)應(yīng)用安全來避免發(fā)生這類事件。

同時(shí)，在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的大背景下，做好移動(dòng)App應(yīng)用安全防護(hù)不僅需要技術(shù)手段上的安全防護(hù)，還需要安全意識(shí)和管理運(yùn)維水平的同步提升。由于移動(dòng)惡意軟件感染通常會(huì)大量利用社會(huì)工程學(xué)方法，以企業(yè)中的員工作為攻擊突破口，因此企業(yè)應(yīng)提供安全意識(shí)培訓(xùn)，并考慮針對(duì)這些攻擊采用監(jiān)控通信狀態(tài)的技術(shù)。

參考鏈接：

https://www.darkreading.com/application-security/6-scary-tactics-used-in-mobile-app-attacks