快捷搜索:  网络  扫描  后门  CVE  渗透  木马  黑客  as

2017年Android恶意软件专题讲演

本文为 360互联网安全中心以及360烽火实验室出品的安全讲演,聚焦并阐发2017年 Android 恶意软件的详情。

摘要

2017年全年,360互联网安全中心累计截获Android平台新增恶意软件样本757.3万个,平均每天新增2.1万。全年相比2016年(1403.3万)下降46.0%,从2015年来看,新增恶意软件呈现团体下降趋向。

2017全年,从手机用户感染恶意软件情形看,360互联网安全中心累计监测到Android用户感染恶意软件2.14亿,相比2016年2.53亿人次下降15.4%,平均每天恶意软件感染量约为58.5万人次。

2017年Android平台新增恶意软件主若是资费消费,占比高达80.2%;相比2016年增添了6个百分点。

2017年从地域分布来看,感染手机恶意软件至多的区域为广东省,感染数量占天下感染数量的10.4%;其次为河南(6.8%)、山东(6.5%)、河北(5.9%)、浙江(5.9%)。

2017年Android平台恶意软件感染量至多的十大城市。北京(4.9%)、广州(2.1%)、重庆(1.8%)、成都(1.7%)、东莞(1.5%)。位居Top10的城市还有石家庄、深圳、郑州、南京、杭州。

2017年恶意软件使用了多种新手艺,分别是针对体系运行库的攻击,行使Telegram软件协定遥控,手机挖矿,手机僵尸收集提议DDOS攻击,使用SOCKS代办署理以及SSH协定穿透内网防火墙,恶意软件多级化,滥用应用多开手艺和高级定向攻击持续化。

2017年度CVE Details讲演显示,Android体系以842个漏洞位居产品漏洞数量榜首,与2016年523个相比,增进61.0%。

2017年不断曝出Android漏洞在恶意样本上行使,行使的漏洞首要有屏幕录制漏洞(CVE-2015-3878)、脏牛漏洞(CVE-2016-5195)、TYPE_TOAST(CVE-2017-0752)以及Janus安卓署名漏洞(CVE-2017-13156)。

Google通过引入最新的机器学习模块以及手艺,明明抬举了Google Play的安全检测能力,并能够有用发现假冒的软件、包含了背规内容的软件、和恶意软件。除此之外,Google还从体系以及研发两个方面抬举了总体安全环境。

在协同袭击收集犯法方面,截至2017年底,猎网平台已与天下300个区域的公安机关确立联系。全年协助各区域公安机关协查案件219起,破案23起,抓获怀疑人总计137人。同时,360烽火实验室对外开铺挪移平台电子取证培训10余次,涵盖河南、长春、浙江等天下多地。在触及挪移平台的收集犯法案件侦办中,实验室通过溯源等阐发手段,协助公安机关找到恶意软件作者QQ号,手机号及邮箱线索31万余条,案件触及的恶意软件阐发讲演18篇。

从挪移威胁趋向上看,具备自动化以及匹敌能力的恶意软件工厂不断涌现,恶意挖矿木马愈演愈烈,公共基础服务成为恶意软件行使的新平台,脚本说话成为恶意软件新的手艺热门,这4个方面将成为日后的首要趋向。

症结词:挪移安全、恶意软件、漏洞行使、收集犯法、威胁趋向

第一章      团身形势

1、恶意软件新增量与感染量

2017年全年,360互联网安全中心累计截获Android平台新增恶意软件样本757.3万个,平均每天新增2.1万。全年相比2016年(1403.3万)下降46.0%,从2015年来看,新增恶意软件呈现团体下降趋向,且今年下降幅度较大,显示了挪移恶意软件团体进入安稳高发期。

2017年Android恶意软件专题讲演

图1

下图是2017年各月Android平台新增恶意软件样本量的分布图。由图可见,新增恶意软件总体呈现上半年高、下半年低的态势,即1-5月新增恶意软件量总体呈现曲线上升,在5月达到最高峰。下半年除8月为78.0万个新增样本外,其余月份均较低。

2017年Android恶意软件专题讲演

图2

2017全年,从手机用户感染恶意软件情形看,360互联网安全中心累计监测到Android用户感染恶意软件2.14亿,相比2016年2.53亿人次下降15.4%,平均每天恶意软件感染量约为58.5万人次。

从近六年的挪移恶意软件感染人次看,经过2012-2015年的高速增进期,2016以及2017年呈现下降趋向,说明手机恶意软件进入安稳期。

2017年Android恶意软件专题讲演

图3

下图是2017年Android平台新增恶意软件感染量的按季度对比情形,每一季度的新增恶意样本均鄙人降。

全年来看,2017年四个季度的感染量呈现下降趋向。其中二季度最高约为5934.8万人次,四季度的感染量则起码,仅为4493.7万人次。

2017年Android恶意软件专题讲演

图4

二、恶意软件风险阐发

根据中国反收集病毒联盟的分类标准,360互联网安全中心在2017全年监测的Android平台恶意软件的分类统计以下图。从图中可见,2017年Android平台新增恶意软件主若是资费消费,占比高达80.2%;相比2016年增添了6个百分点。

资费消费类型的恶意样本占比已达到3/4,说明挪移端恶意软件依然是以倾销广告、消费流量等手段,增添手机用户的流量资费等谋取造孽商家的经济利益。当前支流运营商的资费模式重心已经转向流量,而再也不单纯倚重语音通话。资费消费类恶意软件对用户资费酿成的影响照样比较显然。

2017年Android恶意软件专题讲演

图5

3、地域阐发

2017年从地域分布来看,感染手机恶意软件至多的区域为广东省,感染数量占天下感染数量的10.4%;其次为河南(6.8%)、山东(6.5%)、河北(5.9%)、浙江(5.9%)。

2017年Android恶意软件专题讲演

图6

下图给出了2017年Android平台恶意软件感染量至多的十大城市。毫无疑问,北京用户感染Android平台恶意软件至多,占天下城市的4.9%;其次是广州(2.1%)、重庆(1.8%)、成都(1.7%)、东莞(1.5%)。位居Top10的城市还有石家庄、深圳、郑州、南京、杭州。

2017年Android恶意软件专题讲演

图7

第二章      清点恶意软件的新手艺

1、针对体系运行库的攻击出现

今年4月在Google Play应用市肆上发现了新的体系级恶意软件Dvmap[1]。它根据Android体系的版本将恶意代码注入到体系库libdmv.so或libandroid_runtime.so中,这两个库都是与Dalvik以及ART运行时环境相干的运行时库。注入以后会以Root权限替代体系正常文件,同时部署恶意模块。恶意模块能够关闭谷歌对于应用的安全检查(Verify Apps)功能,并且更改体系配置去操作装置任何来自第三方应用市场的应用程序。

2017年Android恶意软件专题讲演

图2.1:Dvmap家族代码片段

二、行使Telegram软件协定的木马首次出现

今年6月国外安全厂商首次发现行使Telegram软件协定控制的木马Android.Spy.377.origin[2]。它不但能够盗取用户手机中的隐衷信息,并且还可以遥程控制手机拨打电话、发送短信,删除手机中指定文件等。

Telegram是以云端为基础的轻量级即时通信软件,Telegram Bot是基于Telegram客户端的第三方程序。用户可以通过向Bot发送信息、照片、指令、在线要求等一系列的方式于Bot互动。Bot的所有者通过Bot的API走访并要求Telegram Server的信息。

由于电报信息交换协定提供了简单的通讯方式,攻击者无需在受害者的设备上启用端口转发。然而攻击者起首需要开发本人的Bot,这个Bot生成的令牌嵌入到木马的设置文件中。一旦受害者设备被感染,攻击者就能够通过自动创建的通道来控制它。

2017年Android恶意软件专题讲演

图2.2:使用Telegramprotocol控制道理

3、挖矿木马再现身

挖矿木马最早是2013年在PC平台上被发现,而首个手机挖矿木马CoinKrypt[3]最早被国外安全厂商在2014年3月暴光。手机挖矿木马经过一阵沉静后,随着电子加密货币价格的一起走高,恶意软件作者又重新将目标转向了挖矿。

在代码层上的表现情势为,早期恶意软件使用了开源的矿池代码库进行挖矿,今年暴光的恶意软件使用矿池提供的阅读器JavaScript脚本进行挖矿。由于阅读器JavaScript挖矿脚本设置天真简单,具有全平台化等特点,受到越来越多的恶意挖矿木马的青睐,同时也导致了行使JavaScript脚本挖矿的安全事故愈发频仍。

2017年Android恶意软件专题讲演

图2.3:攻击者通过挖矿木马赚取收益的攻击流程

4、僵尸收集提议DDOS攻击

2017年8月多个内容分发收集(CDN)以及内容提供商受到来自被称为WireX的僵尸收集的严重攻击。

2017年Android恶意软件专题讲演

图2.4:WireX僵尸收集每一小时增进量[4]

WireX僵尸收集首要由运行恶意应用程序的Android设备组成,它使用了三种攻击方式:

1.       UDP Flood:WireX会创建50个线程,每一个线程中都会连接该主机以及端口,开启Socket以后,使用UDP协定发送随机数据,每一次会发送512个字节的数据,一个线程中一共会发送一千万次,也就是 10000000*512=5120000000字节的数据,因为一共完成了创建了50个线程,所以,理论上会发送10000000*512*50=256000000000(2560亿)字节。

2.       Deceptive Access Attack:WireX会创建20个WebView,然后使用每一个WebView走访要攻击的网站。

3.       Deceptive Click Attack:WireX会摹拟鼠标事故进行点击,点击要攻击的网站页面中所有的URL链接。

2017年Android恶意软件专题讲演

图2.5:WireX僵尸收集三种攻击方式

5、企业攻击进阶

针对企业内网安全的攻击,继客岁6月份首次出现的DressCode[5]恶意家族后,今年又出现了行使挪移设备攻击企业内网的新的恶意家族MilkyDoor[6]。

然而,与DressCode不同的是,MilkyDoor不仅行使SOCKS代办署理完成从攻击者主机到目标内网服务器之间的数据转发,而且行使SSH(SecureShell)协定穿透防火墙,加密传输数据,进而完成数据更隐蔽的传输。

MilkyDoor木马采用遥程端口转发完成数据加密传输,全部过程步骤以下:

1.        木马主动与攻击者主机确立一个SSH安全连接。

2.        攻击者主机将数据发送到它的R端口上。

3.        位于攻击者主机端的SSH服务器接收到R端口上的数据后,将其加密并转发到位于木马端的SSH客户端上。

4.        SSH客户端解密收到的数据并将其转发到木马监听的L端口上。

2017年Android恶意软件专题讲演

图2.6:攻击者行使遥程端口转发传输数据的过程

6、恶意软件出现多级化

在恶意软件匹敌方面,今年暴光的Chamois恶意家族,拥有多种分发渠道。它是Google认为迄今为止在Android平台上看到的最大的PHA(Potentially Harmful Application)家族之一。

早在2013年在Google Play上就发现有通过联网指令控制延迟下载恶意软件,从而绕过Google扫描器检测阶段的恶意家族Badnews[8]。相比Badnews,Chamois采用了多级化手艺手段,它的代码使用不同的文件格式在4个不同的阶段执行。这个多阶段的过程使得这个家族在检测过程中变得愈加复杂,因为必须执行第一阶段才能达到第二阶段,执行第阶段才能达到第三阶段,依次执行才能到达恶意的部分。

2017年Android恶意软件专题讲演

图2.7:Chamois恶意家族使用不同的文件格式在4个不同的阶段中执行流程[7]

7、应用多开手艺被滥用

VirtualApp[9](简称VA)是一个App捏造化引擎。它能够创建一个捏造空间,可以在捏造空间内任意的装置、启动以及卸载APK,这统统都与外部隔离,犹如一个沙盒。运行在VA中的APK无需在外部装置,即VA支持免装置运行APK。VA目前被广泛应用于双开/多开、应用市场、模制定位、一键改机、隐衷维护、游戏修改、自动化测试、无感知热更新等手艺领域。

恰是由于VA的应用广泛,也被恶意软件滥用。滥用实例首要为免杀、木马及广告。

2017年Android恶意软件专题讲演

图2.8:VirtualApp滥用情形

1.       免杀:由于VA特性,恶意软件常以子包情势加密存储在VA内,在引擎扫描时使用VA的样本,主包代码特征表现一致,而子包由于加密导致引擎没法识别,从而绕过杀软静态检测。

2.       木马:以Trojan-Spy.AndroidOS.Twittre[10]家族为例,通过VA启动Twitter,Twitter启动后,修改后的VirtualCore模块Hook了EditText类的getText函数,从而在Twitter登录窗口挟制用户的输入。用户的登录凭证被拿获后,恶意软件将其上传到遥程服务器上。

3.       广告:今年使用VA手艺的广告最先出现,通常使用VA的主包会在手机桌面创建了多个快捷方式,当用户点击快捷方式时,它会启动主包内相应的应用程序。对于这类启动方式与默认的启动方式相比很难进行区别,并且无需装置缩小了用户操作过程,很大程度上既推行了应用,又避免了被用户发现。

8、高级定向威胁持续进行

APT攻击(Advanced Persistent Threat,黑客技术,高级持续性威胁)堪称是在收集空间里进行的军事匹敌,攻击者会长期持续的对特定目标进行精准的袭击。

2017年,暴光了一系列触及挪移平台的APT构造步履。与2016年相比,从表露的构造活跃度看,双尾蝎(APT-C-23)[11]构造在2017年中较为活跃。其在攻击中使用的恶意软件千锤百炼,所使用的新变种VAMP[12]、FrozenCell[13]以及GnatSpy[14]相继暴光。

对比攻击目标以及攻击国家,从攻击目标上,2017年挪移平台的APT攻击目标增添医疗、教育以及金融方向;从攻击国家上,包括中国在内环球多个国家均是APT攻击的受害国。

从影响的挪移平台看,客岁暴光的NSO Group[15]构造制造的恶意软件Android版本被发现,与iOS版本最大的不同是Android版本使用的是Framaroot方案抬举软件权限,而没有使用零日漏洞。另外,像双尾蝎、OperationManul[16]构造在PC端以及挪移端出现了相同控制C&C信息,这也表明APT攻击向着平台组合化方向发铺。

2017年Android恶意软件专题讲演

图2.9:2017年触及挪移平台的APT攻击步履

第三章      挪移威胁持续进化

1、严峻的体系环境

Android体系开源就象征着在安全问题上显得愈加透明,运用工具审查安全漏洞变得更易。根据汇总CVE数据的网站出具的2017年度CVE Details讲演显示,Android体系以842个漏洞位居产品漏洞数量榜首,与2016年523个相比,增进61.0%,继续蝉联漏洞之王。

2017年Android恶意软件专题讲演

图3.1:2017年CVE网站产品漏洞数量TOP排名情形[17]

Google每一次发布Android新版本,对体系安全性都有所增强,然则由于Android体系碎片化严重,体系版本更新速率慢,体系安全环境总体抬举受到影响。

截止2018年1月,Google发布的Android体系版本分布统计,Android Marshmallow(Android 6.0)总占比已达28.6%,占比第二的是Android Nougat(Android 7.0/7.1)达到26.2%,而最新体系版本Android Oreo(Android 8.0/8.1)仅占0.7%。

2017年Android恶意软件专题讲演

图3.2:截止2018年1月Android体系版本分布占比情形[18]

二、厂商漏洞修复情形

Android操作体系目前仍未有无比完美的补丁机制为其修补体系漏洞,再加上Android体系碎片化严重,各手机厂商若要为采用Android体系的种种设备修复安全问题则需投入大批人力物力。受到Android体系的诸多特性的影响,体系版本的碎片化问题日益突出。就每款手机而言,厂商在其珍爱周期内,通常会隔一段时间向用户推送一次升级版本,而用户在大多数情形下可以自立选择升级或不升级。综合这些特性,在Android体系的安全漏洞方面,也产生了严重的碎片化问题。

根据《2017年度安卓体系安全性生态环境研究》讲演数据,下图为各厂商手机中实际存在的安全补丁级别情形,该情形是将各厂商现存手机中实际补丁日期与谷歌官方最新版本(2017年12月)版本对比,综合安全补丁级别最高、最新的手机品牌前5名。图中绿色方块面积越大,说明该厂商的手机补丁级别相对于越高,漏洞修复相对于越及时;相反,要是黄色以及橙色面积越大,则说明补丁级别越低,漏洞修复越滞后。

2017年Android恶意软件专题讲演

图8

图中我们可以看出,在及时推送安全补丁级别方面,TOP5的厂商在本季度的检测效果显示较好,而且在本季度的调研中这五个厂商均有保持与谷歌最新安全补丁同步的更新提供,这也显示了厂商对于用户手机中安全补丁等级的逐步重视。

3、漏洞行使情形

综合上述对Android体系环境的先容,我们可以看出仍旧存在大批未升级至新版本体系以及未打补丁的设备正在被使用,这些与安全更新摆脱的征象直接导致用户手机暴露于种种漏洞的威胁之下,可造成用户的隐衷、财产安全。

2017年最先不断曝出Android漏洞在恶意样本上行使,下面我们以恶意样本漏洞行使的实例,来阐发漏洞对Android用户的实际威胁:

(一)   屏幕录制漏洞

屏幕录制漏洞(CVE-2015-3878)[19]是我们在2015年发现并提交给Google安全团队,

Google在Android 5.0中引入了MediaProjection服务,MediaProjection服务可以让应用开发者获取屏幕内容以及记录体系音频。在Android 5.0之前,应用开发者需要应用在Root权限下运行或者用设备的Release Key对应用进行署名,只有如许才可以使用体系维护的权限来获取屏幕内容。而且,使用MediaProjection服务时,不需要在AndroidManifest.xml中声明要求的权限。

为了使用MediaProjection服务,应用只要要通过intent要求体系服务的走访权限。对体系服务的走访是通过System UI的弹窗提示用户要求的应用要获取屏幕内容来授权的。 攻击者可以用任意新闻来笼盖System UI的弹窗提示,诱使用户点击并授权攻击者的应用获取屏幕内容。

2017年12月被ANVA反病毒联盟曝出,有恶意样本使用该漏洞针对Android 5.0-6.0体系的手机进行屏幕截图,使用进程维护手艺,窃取用户隐衷。

2017年Android恶意软件专题讲演

图3.3:恶意软件执行流程[20]

(二)   脏牛漏洞

脏牛漏洞(CVE-2016-5195)[21]首次地下于2016年,是基于Linuxkernel的一个严重的提权漏洞,允许攻击者获得目标体系走访的Root权限。

2017年9月,国外安全厂商表露了第一个行使脏牛漏洞的恶意样本。而实际上,我们早在4月份就已经拿获到了行使该漏洞的恶意软件,脏牛漏洞最早被运用在Dvmap家族中,首要作用是行使脏牛漏洞抬举权限并且替代体系文件。

2017年Android恶意软件专题讲演

图3.4:在Dvmap中行使脏牛漏洞替代体系文件代码片段

(三)   Toast Overlay攻击

Overlay攻击需要在其他运行的应用、窗口或进程上绘制以及叠加Android视图(例如图像或者按钮)。Toast Overlay攻击的典型场景是,诈骗用户点击攻击者指定的非法的窗口或按钮。“Toast”窗口(TYPE_TOAST)是Android上支持的Overlay类型之一,用于显示其他应用程序的通知。然而,TYPE_TOAST类型的窗口未进行权限检查,所以不需要要求SYSTEM_ALERT_WINDOW权限。

TYPE_TOAST(CVE-2017-0752)[22]漏洞影响范围广,除了Android最新版本(8.0/Oreo)外,所有低版本的用户均受到该漏洞的影响。

2017年Android恶意软件专题讲演

图3.5:TYPE_TOAST类型的窗口未进行权限检查[23]

2017年11月,国外安全厂商发现第一例使用Toast Overlay攻击的恶意家族TOASTAMIGO,它行使Android的Accessibility辅助功能,使其具有广告点击、应用程序装置、自我维护/持久性功能。TOASTAMIGO在授权后,会启动一个窗口,表明可以“阐发”应用程序。而在这个窗口违后,应用程序会执行操作或指令,包括装置第二个恶意应用。

2017年Android恶意软件专题讲演

图3.6:行使Toast Overlay攻击的恶意家族TOASTAMIG攻击道理[24]

(四)   Janus安卓署名漏洞

Android 12月安全公告中表露了一个名为“Janus”的高危漏洞(CVE-2017-13156)[23],攻击者可以行使该漏洞绕过Android体系的SignatureScheme V1署名机制,直接对App进行篡改。由于署名以及验证机制是Android体系总体安全机制确立的最基础部分,行使该漏洞可以绕过全部Android体系的安全机制。基于SignatureScheme V1署名机制的App在Android5.1到8.0体系均受“Janus”漏洞影响。

一般来说,恶意软件有两种方式来行使这个漏洞。一种是可以用来隐躲Payload。恶意软件会把本人伪装成一个清洁的DEX文件,而恶意Payload文件存储在APK文件中以后加载,同期,国外安全厂商拿获到行使该漏洞的恶意软件ANDROIDOS_JANUS.A[24]就使用了这类方式;另一种是在原始开发者不知情的情形下更新已经装置的应用。攻击者可以用这类方式来走访原来的应用中受维护的数据,譬如用户身份证手札息以及隐衷信息。冒充合法应用的身份还可以绕过杀软等安全解决方案。

第四章      手艺创新夯实安全的堤防

在匹敌不良应用以及恶意开发者方面,根据Google官方数据[25]显示,2017年Google Play应用市肆下架了超过70万款背反了Google Play政策的应用程序,而这个数字跟2016年相比增进了70%。这不仅说明Google移除了更多的恶意软件,而且还表明Google能够在恶意软件攻击阶段的早期愈加准确且快速地发现它们。实际上,其中有99%的恶意软件在用户真正装置它们之前就已经被成功识别并删除了。

Google通过引入最新的机器学习模块以及手艺,明明抬举了Google Play的安全检测能力,并能够有用发现假冒的软件、包含了背规内容的软件、和恶意软件。

另外,Google还研发出了新的检测模块和检测手艺来发现那些恶意开发者。在2017年,Google对10万名恶意开发者创建新账号并发布其他软件增添了难度。

除此之外,Google还从体系以及研发两个方面抬举了总体安全环境。

1、体系更新遏制手机勒索

Google对Android体系安全十分重视。从2015年最先提出了月度公共安全更新计划,主若是为了及时提供漏洞信息以及补丁,带动各个手机厂商及时更新体系修复漏洞。同时,Android体系版本在不断更新,每个版本在体系安全方面都有显然的改进。

纵观Google在Android体系安全方面的更新,每版都在遏制恶意软件方面做出了踊跃应答,这其中就包括勒索软件。

在早期的Android L版本中,获取当前运行栈顶程序getRunningTasks要领被废弃,阻止了了挟制Activity类的勒索软件。

Android M版本中,悬浮窗权限SYSTEM_ALERT_WINDOW最先被列为一种惊险程度较高的权限,使用时需要用户动态授权,防止用户手机在毫无预防的情形下被锁定,通过用户授权干涉干与,能起到一定程度的缓解作用。

Android N版本中明确规定,第三方应用开发者只能使用resetPasswordAPI为无暗码设备配置初始暗码,而不能重置或清除已有的设备暗码。Android N中对于resetPassword API所添加的制约能阻止手机勒索软件对已有锁屏暗码的重置,从而使得部分使用该手段的勒索软件失效。

2017年Google发布了最新Android版本(Android 8.0/Oreo),在新版本中Android禁用了5种窗口类型。其中,3种是勒索软件经常使用的体系窗口类型,从而进一步遏制手机勒索软件。

2017年Android恶意软件专题讲演

图4.1:Android在各个版本中遏制恶意软件的措施

二、开发规范束厄局促进一步增强

开发阶段是一个应用性命周期的启点,开发规范既能够束厄局促开发者养成了优越的编码习性,同时又能保证应用的代码安全。为了不权限被滥用,Android8.0/Oreo加强了权限控制[26]。在Android 8.0/Oreo之前,要是应用在运行时要求权限并且被授予该权限,体系会错误地将属于同一权限组并且在清单中注册的其他权限也一块儿授予应用。

对于针对 Android8.0 的应用,此举动已被纠正。体系只会授予应用明确要求的权限。然而,一旦用户为应用授予某个权限,则所有后续对该权限组中权限的要求都将被自动批准。例如,假设某个应用在其清单中列出 READ_EXTERNAL_STORAGE 以及 WRITE_EXTERNAL_STORAGE。应用要求 READ_EXTERNAL_STORAGE,并且用户授予了该权限。要是该应用针对的是 API 级别 24 或更低级别,体系还会同时授予WRITE_EXTERNAL_STORAGE,因为该权限也属于同一STORAGE 权限组并且也在清单中注册过。要是该应用针对的是Android 8.0/Oreo,则体系此时仅会授予 READ_EXTERNAL_STORAGE;无非,要是该应用后来又要求 WRITE_EXTERNAL_STORAGE,则体系会立即授予该权限,而不会提示用户。

在软件功能使用方面,Google最先正确引导开发者使用Android提供的Accessibility服务,该服务意在帮助残疾人士更好地使用Android设备。我们在2016年发布的《ANDROID ACCESSIBILITY安全性研究讲演》讲演,讲演对Accessibility服务进行了周全的阐发,对Accessibility的滥用情形进行了举例阐发,本应该用在辅助残疾人的应用上,却被用在红包外挂、免Root装置、广告应用甚至是恶意应用上。

2017年,有开发者收到了来自Google的邮件[27],邮件中指出Google计划从Google Play应用市肆中删除所有益用Accessibility服务的应用,除非使用该服务的应用目的确凿是为了给有缺点的用户提供便利功能。

虽然许多用户以及开发者对Google的决定表示担忧,指出一些合法应用常用Accessibility服务作为功能的解决要领,否则可能难以或不可能完成。然则,从这个邮件能够看出Google在解决安全问题上的立场以及决心。

2017年Android恶意软件专题讲演

图4.2:Google通知开发者关于束厄局促Accessibility服务功能的邮件

第五章      万物皆变人是安全的尺度

今年中国互联网安全大会(ISC)主旨是万物皆变人是安全的尺度,谈到关于人的重要性,即人是收集安全中的软肋,也是安全中的症结一环。值得注意的是,在注重培育安全人才的同时也要注重全部社会安全意识的提高。以当前泛滥的收集骗取为例,大多数收集骗取的发生都是骗子行使受害者安全意识低,防范能力不足而实施的。数据显示,尽大多数收集骗取并不是通过高超的手艺盗取受害者钱财,而依旧是靠“忽悠”。

1、收集骗取综述

2017年,由北京市公安局联合360共同推出的,通过互联网平台以及互联网手艺袭击收集骗取犯法的创新平台——猎网平台共收到天下用户提交的有用收集骗取举报24260例,举报总金额3.50亿余元,人均丧失14413.4元。与2016年相比,收集骗取的举报数量增进了17.6%,人均丧失却增进了52.2%。2014-2017年统计以来,每年的人均丧失均出现大幅增进,可见收集骗取正在严重的威胁着网民的财产安全。

2017年Android恶意软件专题讲演

图9

在猎网平台2017接到的用户举报中,有15911人是通过银行转账、第三方支付、扫二维码支付等方式主动给造孽分子转账,占比65.6%,其次有7442人在虚假的钓鱼网站上支付,占比30.7%;装置木马软件从而被盗刷的用户有328人,占比1.4%;在钓鱼网站上填写用户的账号、暗码等隐衷信息后,被盗刷的用户有302人,占比1.2%;主动告知账号暗码/二维码/验证码/付款码盗刷从而被盗刷的有185人,占比0.8%,还有88人遭到勒索软件、威吓电话等被勒索盗刷,占比0.4%。

要是从涉案总金额来看,钓鱼网站支付,占比64.3%,累计2.2亿元;其次受害者主动转账占比33.7%,累计1.2亿元;木马软件导致盗刷占比0.8%,累计279.7万元;钓鱼网站导致盗刷占比0.6%,累计215.6万元;主动告知账号暗码/二维码/验证码/付款码从而被盗刷占比0.5%,累计167.8万元。

2017年Android恶意软件专题讲演

图10

二、警企协同袭击收集犯法

截至2017年底,猎网平台已与天下300个区域的公安机关确立联系。全年协助各区域公安机关协查案件219起,破案23起,抓获怀疑人总计137人。

同时,360烽火实验室对外开铺挪移平台电子取证培训10余次,涵盖河南、长春、浙江等天下多地。在触及挪移平台的收集犯法案件侦办中,实验室通过溯源等阐发手段,协助公安机关找到恶意软件作者QQ号,手机号及邮箱线索31万余条,案件触及的恶意软件阐发讲演18篇。

下面列举我们协助警方破获的重点案件:

案例一

今年2月3日,营口市开发区公安局接到孟女士报警称,其农业银行卡内50余万元人民币被盗。警方发现,1月20日,孟女士收到含有木马链接的短信,不慎点击后手机中招,短信被拦截,11天内其银行卡内的50余万被犯法分子分800余笔交易到其他损耗网站。

经初步调查,犯法分子事前在网上购买大批身份证、银行卡等信息,通过群发短信的方式将木马病毒植入受害人银行卡绑定的手机。该木马病毒可以拦截手机短信、提取手机通信录、获取网上银行的手机验证码,骗子借此盗刷受害人银行卡内资金。通过资金流追查,警方从第三方支付平台为孟女士追归被骗资金2700余元。

借助猎网平台,通过溯源阐发,找到木马挟制受害人短信所使用的邮箱,帮助警方成功锁定了怀疑人的线索。

经过两个多月周密详尽的调查取证,营口警方发现确认这是一伙分工明确、链条完备的骗取团伙,分布在广西、北京、福建三地。其中,广西宾阳怀疑人负责操作木马,套取被害人银行卡损耗的验证码;北京窝点负责被害人的钱以话费情势转移至手机充值卡,然后再将话费转卖,归款后与宾阳怀疑人三七分成;福建窝点将被害人的钱充值到苹果云账户,购买苹果商品损耗,再低价转卖。

4月13日以及20日,警方分赴北京、福建、广西,抓获刘某、梁某、黄某、黄某某等四名怀疑人,缴获作案电脑5台、机箱3台、平板电脑2台、手机21部、银行卡23张。

案例二

今年年初,淮北市民刘先生突然收到短信,写道“海峰,你看这个女的面熟吗”,笔墨后带有一个链接。看到是熟人发来的信息,刘先生没多想就点击了链接,进入后发现是英文看不懂,刘先生就随手删除了短信。

次日一早,刘先生突然连续收到短信提示,银行卡前后两次被损耗1960元。暗码从未告诉过他人,怎么会被损耗?担心卡内100多万资金的安全,刘先生赶紧到银行求助,将卡内余额转存,随后向警方报案。

淮北公安通过检测刘先生的手机发现,他收到的实为一条骗取短信,其点击短信链接后手机自动装置了木马程序,通信录、短信等信息都被犯法分子拦截盗取。根据盗取到的短信验证码等信息,犯法分子盗刷了刘先生手机绑定的银行卡内的钱。同时,刘先生点击链接后,类似短信还被自动发送给了他的多名通信录挚友。

在360烽火实验室手艺支持协助下,关联出同源代码木马199个,这199个木马共绑定了用于接收受害人短信的邮箱2个、手机号码7个。通过淮北警方对木马配置的邮箱以及手机号进一步调查,成功摧毁了木马制造、传播、盗刷、销赃全部犯法团伙,跨越四省抓获9名犯法怀疑人。据初步调查,短短半年时间,天下近10万部手机被木马感染,近800人遭受经济丧失,团伙骗取金额超过155万。

第六章      威胁趋向预测

1、具备自动化以及匹敌能力的恶意软件工厂不断涌现

2017年,BlackHat的议题《AVPASS: Automatically BypassingAndroid Malware Detection System》[28]诱发业内关注,这是首次在国际黑客会议上地下的,关于自动化探测安全软件规则工具的集合先容。

AVPASS是一个可以探测Android杀毒软件的检测模型,并结合探测到的信息以及混淆手艺组织特定APK来绕过杀毒软件检测的工具。AVPASS不仅可以推测出杀毒软件使用的特征,而且可以推导出其检测规则,因此,(理论上)它可以自动的变形APK,使得任何杀软将一个恶意APP误认为一个正常APP,即免杀。

Clipboard Image.png

图6.1:AVPASS检测模型

AVPASS完成了自动化免杀,这类手艺已经衍生出多种类型软件的一键生成器,譬如广告软件以及勒索软件。

Clipboard Image.png

图6.2:恶意广告(左)以及勒索软件(右)一键生成器

在2016年我们发布的《ANDROID逃逸手艺汇编》讲演,讲演汇总了60多种恶意软件匹敌检测的手段。因而可知,恶意软件与检测手段的匹敌从未休止,恶意软件工厂取代了人工繁琐的代码编写、编译过程,进一步降低了制造门槛,不仅生成速率变快,并且能够根据需要进行定制,这类恶意软件生产模式势必成为未来的发铺趋向之一。

二、恶意挖矿木马愈演愈烈

2017年最疯狂的莫属电子货币,以比特币为代表的电子货币,年内单价突破了2万美元,随着电子货币价格暴跌,针对电子货币相干的攻击事故也越来越频仍。

今年5月,以比特币为勒索目标的WannaCry[29]勒索病毒环球大爆发,最少150个国家、30万名用户中招,造成丧失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危急治理问题。中国部分Windows操作体系用户遭遇感染,校园网用户首当其冲,受害严重,大批实验室数据以及毕业设计被锁定加密。部分大型企业的应用体系以及数据库文件被加密后,没法正常工作,影响巨大。

而在挪移平台上,从2013年最先至2018年1月,360烽火实验室共拿获Android平台挖矿木马1200余个,其中仅2018年1月Android平台挖矿木马接近400个,占整个Android平台挖矿类木马近三分之一。

微信图片_20180312150221.jpg

图11

相比PC平台,挪移终端设备普及率高,携带方便,更替性强,于是安全问题的影响速率更快,传播更广。然而,挪移平台在挖矿能力上受限于电池容量以及处理器能力,并且在挖矿过程中会导致设备卡顿、发热、电池寿命骤降,甚至出现手机物理破损问题,就目前来看挪移平台还不是一个可持续性生产电子货币的平台。

今年暴光的Android挖矿木马事故,初步显示应用红利模式由广告转向挖矿,门罗币成为挖矿币种首选和攻击目标向电子货币钱包转移成为Android平台挖矿木马的演化的三大趋向。挖矿以及勒索成为2017年两大环球性的安全话题,2018年将会继续延续。

3、公共基础服务成为恶意软件行使的新平台

今年恶意软件使用的新手艺中,出现了行使Telegram软件协定以及VA应用多开手艺,在早期还出现过恶意软件还使用了Google的GCM推送服务以中举三方新闻推送服务,这些公共基础服务、开源代码被恶意行使,成为恶意软件的新平台。

以使用Telegram软件协定服务以及Google的GCM服务为例,需要恶意作者申请本人唯一的ID,进行指令控制时仅通过ID来区别,走访的都是服务提供商的服务器,并不是恶意软件作者本人的服务器,从而避免了通过C&C追踪溯源。

而在使用VA应用多开手艺时,也能够完成对公共基础服务的恶意行使。恶意软件不但在Manifest中声明的权限以及组件结构、数量上基原形似,又常以子包情势加密存储在VA内,主包代码特征也表现一致,在检测引擎扫描时使用VA的样本引擎没法识别,从而绕过杀软静态检测。

综合来看,公共基础服务被恶意行使,一方面,是由于这些基础服务提供了简便易用的接入要领,使得恶意软件方便快速的接入;另一方面,恶意软件行使这些基础服务,能够完成绕过检测、藏避跟踪溯源。

4、脚本说话成为恶意软件新的手艺热门

脚本说话具有跨平台、设置天真简单特性,方便开发者增强应用体验结果。但同时,也为恶意软件藏避查杀提供了便利。2017年我们发现了三种行使JavaScript脚本说话实施恶意举动的隐蔽方式。

第一种是行使JavaScript摹拟点击刷网页、广告流量。我们在《挪移平台流量黑产研究——流量舞弊与流量泡沫》讲演中,以某个渠道近一周的数据为例进行抽样阐发,恶意软件每一30秒实现一次刷量举动,据此每一个受害用户的手机每天能产生2880次虚假走访,近来一周产生的虚假走访总数为1.8亿次。按照每一千次10元到20元的收费标准,近来一周能为该渠道创造185万元的收入。

某恶意软件使用的JavaScript摹拟点击脚本

图6.3:某恶意软件使用的JavaScript摹拟点击脚本

第二种是行使JavaScript擅自发送短信,我们在《Expensivewall家族变种再现Google Play》讲演中发现Google Play上存在Expensivewall恶意家族变种。该家族运行道理是先根据getSimCountryIso获取到的国别码获取不同的广告URL;其次,通过webview要领加载的含有JavaScript脚本的广告页面;最后,在关上的广告铺示页面上,点击关闭按钮×时触发发短信操作。

某恶意软件使用的JavaScript摹拟点击脚本

图6.4:Expensivewall使用JavaScript脚本发送短信

第三种是行使JavaScript进行挖矿,Coinhive提供的天真方便的JavaScript API,在网页中调用Coinhive官网中的JavaScript文件coinhive.min.js并指定一个唯一的标识符即可。

某恶意软件使用的JavaScript摹拟点击脚本

图6.5:Coinhive提供的JavaScript API[30]

以上这三种隐蔽方式,铺现了一种新的恶意软件发铺的新趋向。由于这类方式不依靠与核心代码,在软件动态运行时才会触发调用,给安全软件检测提出了更高的请求和挑战。未来在脚本说话的检测防御上,各个安全厂商应该提高重视程度,提供愈加周全的安全防护模式。

附录一:参考资料

[1] Dvmap:the first Android malware with code injection:https://securelist.com/dvmap-the-first-android-malware-with-code-injection/78648/

[2] Doctor Web:Android Trojan controlled via Telegram spies on Iranian users:https://news.drweb.com/show/?i=11331&lng=en

[3] CoinKrypt:How criminals use your phone to mine digital currency:https://blog.lookout.com/coinkrypt

[4] The WireXBotnet: How Industry Collaboration Disrupted a DDoS Attack:https://blog.cloudflare.com/the-wirex-botnet/

[5] 内网穿透——ANDROID木马进入高级攻击阶段:http://blogs.360.cn/360mobile/2016/12/01/analysis_of_dresscode/

[6] 内网穿透——ANDROID木马进入高级攻击阶段(二):http://blogs.360.cn/360mobile/2017/05/25/analysis_of_milkydoor/

[7] Detectingand eliminating Chamois, a fraud botnet on Android:https://security.googleblog.com/2017/03/detecting-and-eliminating-chamois-fraud.html

[8] TheBearer of BadNews:https://blog.lookout.com/the-bearer-of-badnews

[9] VirtualApp:https://github.com/asLody/VirtualApp

[10] Malwareposing as dual instance app steals users’ Twitter credentials:https://blog.avast.com/malware-posing-as-dual-instance-app-steals-users-twitter-credentials

[11] 双尾蝎构造(APT-C-23)伸向巴以两国的毒针:http://zt.360.cn/1101061855.php?dtid=1101062514&did=490322462

[12] TargetedAttacks in the Middle East Using KASPERAGENT and MICROPSIA:https://researchcenter.paloaltonetworks.com/2017/04/unit42-targeted-attacks-middle-east-using-kasperagent-micropsia/

[13] FrozenCell:Multi-platform surveillance campaign against Palestinians:https://blog.lookout.com/frozencell-mobile-threat

[14] NewGnatSpy Mobile Malware Family Discovered:http://blog.trendmicro.com/trendlabs-security-intelligence/new-gnatspy-mobile-malware-family-discovered/

[15] Pegasusfor Android: the other side of the story emerges:https://blog.lookout.com/pegasus-android

[16] MobileAdvanced Persistent Threat actor conducting global espionage campaign fromLebanon:https://blog.lookout.com/dark-caracal-mobile-apt

[17] Top 50Products By Total Number Of “Distinct” Vulnerabilities in 2017:https://www.cvedetails.com/top-50-products.php?year=2017

[18]Android平台版本:https://developer.android.com/about/dashboards/index.html

[19] CVE-2015-3878:https://source.android.com/security/bulletin/2015-10-01

[20] 行使CVE-2015-3878的安卓间谍软件信息同享:https://mp.weixin.qq.com/s?__biz=MzAxNjMzOTY1OA==&mid=2655229765&idx=1&sn=4413d2d58573c8274c79ac7c884a0e9a&chksm=804170e0b736f9f6d9f3639047016ddc5b83ff06f7723f55257a87800332061bbe545b3fa68a&mpshare=1&scene=1&srcid=1207GsaNCJsAU7r9o5zmbLy3&pass_ticket=7cAS2PAVyXptk6OiVp8TbOmX3VRCO9qfULmiQDSaJ0%3D#rd

[21] CVE-2016-5195:https://source.android.google.cn/security/bulletin/2016-11-01

[22] CVE-2017-0752:https://source.android.com/security/bulletin/2017-09-01

[23] AndroidToast Overlay Attack: “Cloak and Dagger” with No Permissions:https://researchcenter.paloaltonetworks.com/2017/09/unit42-android-toast-overlay-attack-cloak-and-dagger-with-no-permissions/

[24] ToastOverlay Weaponized to Install Several Android Malware:https://blog.trendmicro.com/trendlabs-security-intelligence/toast-overlay-weaponized-install-android-malware-single-attack-chain/

[23] CVE-2017-13156:https://source.android.google.cn/security/bulletin/2017-12-01

[24] Janus Android App Signature Bypass Allows Attackers to ModifyLegitimate Apps:http://blog.trendmicro.com/trendlabs-security-intelligence/janus-android-app-signature-bypass-allows-attackers-modify-legitimate-apps/

[25] How we fought bad apps and malicious developers in 2017:https://android-developers.googleblog.com/2018/01/how-we-fought-bad-apps-and-malicious.html

[26] Android 8.0 Behavior Changes:https://developer.android.com/about/versions/oreo/android-8.0-changes.html

[27] Google toBan Android Apps Misusing Accessibility Service:https://www.securityweek.com/google-ban-android-apps-misusing-accessibility-service

[28] AVPASS:LEAKING AND BYPASSING ANTIVIRUS DETECTION MODEL AUTOMATICALLY:https://www.blackhat.com/us-17/briefings/schedule/#avpass-leaking-and-bypassing-antivirus-detection-model-automatically-7354

[29] 勒索病毒WannaCry:https://baike.so.com/doc/1727832-27028923.html

[30]Coinhive – Monero JavaScript Mining: https://coinhive.com/

  

Clipboard Image.png 

Clipboard Image.png

*

您可能还会对下面的文章感兴趣: