黑盟注:【 图片来源:SecurityIntelligence 所有者:SecurityIntelligence 】
对于许多手机用户来说,遭到恶意软件的攻击并不怎么新鲜。但近几个月来,恶意软件的开发者变得越来越狡猾猖狂,他们已经能够轻易地隐藏或部署这些具有破坏力的软件,更重要的是,他们越来越激进。这种趋势让广大移动用户受到威胁。
Kaspersky实验室曾发布了一份《2018年移动恶意软件发展情况报告》,报告显示,受到恶意软件攻击的设备数量从2017年的6640万台飙升至2018年的1.165亿台。报告还显示,从2017年到2018年,“Trojan-droppers”(一种恶意软件)的数量翻了一番。恶意软件的质量(精确性和影响力)也在不断增强。
在McAfee公司最近发布的报告表示,数十家应用商店都隐藏着山寨应用,这类应用在2018年年中大概只有1万个,然而,预计到2019年年底,数量会升至6.5万个。
此外,Verizon公司最近进行的调查结果显示,大多数受访者都认为自己的公司处在被恶意软件攻击的风险之中。有三分之一的公司承认,遭到恶意攻击后,他们都选择了妥协。而且,有超半数的人表示,他们为了完成工作必须“牺牲”安全,比如使用不安全的公共WiFi,哪怕这样存在安全隐患。
所有数据都表明,移动设备遭受的威胁正飞速增长,然而,这并不能阻挡恶意软件的发展。我们应该做好心理准备,这一系列的数字在2019年都会大幅增长。
Anubis的规避策略
一般来说,利用应用程序来传播恶意软件是最有效的方式。恶意软件要想潜入非正规的应用商店十分简单,因为这种应用商店很少或根本不会对这些软件进行筛查。但可怕之处在于,恶意软件要想通过正规应用商店的检查也很简单。
我们先来瞧一瞧新型恶意软件Anubis是如何将“创新”发扬光大的。
在谷歌的Play store中,Anubis至少植入在两个应用程序里。狡猾的Anubis的开发者发现,谷歌安全员一般使用模拟器搜索应用程序中的木马,所以,他们利用目标手机的运动传感器来隐藏自己的恶意软件。
他们把Anubis设定成检测到运动后才激活,因此,这种恶意软件对研究员来说是隐形的。只有用户的运动传感器开始运行,Anubis才可以激活。
Trend Micro公司今年1月报道称,通过检测运动实现激活的Anubis出现在两个看似正常的应用程序中,一个是4.5星评级的电池扩展程序,另一个是货币转换器。Anubis激活之后,为了窃取凭证会安装一个键盘记录程序,或者直接截屏。
clipper潜入play store
除了之前提到的Anubis,今年2月,安全公司ESET在谷歌的play store中发现的第一个clipper恶意软件:Android/Clipper.C。
以前,这种恶意软件常常出没在非正规的应用商店里,然而现在,它已潜入正规应用商店。
这种恶意软件会用其他数据替换设备剪贴板里的内容,比如,该软件会在用户进行加密货币交易时切换存款帐户,将交易转移到其他帐户。
此外,Android/Clipper.C还试图窃取凭证和私钥,并将它们发送到攻击者的Telegram账户,窃取以太坊的资金。它还可以更换以太坊或比特币钱包地址。
根据谷歌的数据,在2018年,play store里潜在有害应用程序(PHA)的安装率约为0.04%。然而,我们不该对这个利率的微小而感到安慰,因为这个几率代表着你每下载2500次,就会有一次安装到PHA,或者说,一个拥有数千名员工的公司可能安装了很多PHA。
一不小心就中了头彩
今年1月,科技公司Upstream发现,Alcatel的智能手机Pixi4和A3 Max里安装了恶意软件。这就意味着,即便是通过合法渠道购买的全新手机也有可能含有恶意软件。
恶意软件隐藏在预装的天气应用程序中,这款天气应用可以在谷歌Play store上下载,下载量超过1000万次。目前,它已经被下架。
该恶意软件收集了各种各样的数据,如位置信息、电子邮件地址和IMEI码,并将其发送到远程服务器。不仅如此,它还有可能加载了广告软件,或悄悄为用户订阅了付费的服务。
到目前为止,尚不清楚恶意代码究竟是如何进入天气应用程序的。但人们普遍认为,程序开发人员使用的个人电脑遭到了黑客攻击。
“祸”从相册来
之前的例子大概都是因为自己的骚操作而导致中招。其实,哪怕你的手机没有下载任何应用程序,也有被恶意软件攻击的风险。
安卓系统有一个新的bug,这个bug会让黑客进行恶意编码的图片进入系统相册,从而攻击智能手机。谷歌在2月份发现了这个bug,并进行了修复,还发表了一份关于这个bug的安全公告。
然而,值得注意的是,绝大多数安卓手机不会经常更新,也不能及时获得补丁。
黑盟(公众号:黑盟)注:【 图片来源:SecurityIntelligence 所有者:SecurityIntelligence 】
影锤行动制霸华硕
虽然智能手机是恶意软件的重灾区,但是,电脑也深受其害。
前不久,数十万台华硕电脑在影锤行动(ShadowHammer Operation)中遭到攻击,感染了恶意代码。随后,华硕通过安全更新删除了这段代码。
然而,本次攻击并不是由存在安全隐患网站或电子邮件钓鱼引起的。相反,攻击者利用了华硕的实时更新工具,并通过华硕的合法代码签名证书进行了认证。他们扫描用户的MAC地址,一旦确定了目标机器就会从远程服务器发起攻击。影锤行动因此一举成名。
乔治敦大学法律和计算机科学教授Matt Blaze在《纽约时报》的一篇评论文章中写道,尽管用户遭到了攻击,但是,现在让软件不断更新比以往任何时候都更重要。
人们可能会关闭自动更新功能,这样可能会错过安装关键补丁,这会让你暴露在更大的危险中。Blaze补充说,“事实上,现在是检查你的设备,确保自动系统更新功能开启并运行的好时机。”
同样值得注意的是,随着物联网设备的普及,此类攻击的可能性大大增加。
束手就擒,还是全面反抗?
我们也许无法轻易预见恶意软件将对移动安全造成怎样的危害,但可以预见的是,威胁将继续上升,新的攻击手段将层出不穷,移动设备仍是与恶意软件激战的战场。
解决这些问题的重点并不在于加强对上文所提恶意软件的防范,而是要理解日益增长的威胁,并为之做好准备。以下是一些相关的策略:
1.保持设备处于最新状态(即自动更新)
2.坚持使用官方或授权的应用程序商店
虽然文中许多案例出自谷歌官方的应用商店,但是,这些应用商店一旦发现威胁,就会立即删除。但对于未经授权的应用商店来说,情况就不一样了。
3.尽量减少安装的应用程序数量,并青睐信誉良好的应用程序开发人员
4.采用全面的方法来防范可预测,甚至不可预测的威胁
5.要知道,一些新威胁只能通过强大AI工具阻止
6.改进使用公共WiFi的政策,并妥善管理公共WiFi
没有人能预测新型恶意软件会如何渗透到人们使用的移动设备中,但遭到攻击是极有可能发生的事情。我们不能再把这些威胁停留在理论上,或认为这些问题的解决次于其他工作。是时候要采取行动了。
黑盟注:原文作者Mike Elgan,由黑盟编译自SecurityIntelligence
【封面图片来源:网站名Google,所有者:Google】
黑盟版权文章,未经授权禁止转载。详情见转载须知。