1.Android恶意软件概述Android恶意软件是移动互联网上最大的安全威胁之一。软件、网络钓鱼、勒索软件、键盘记录器等。攻击者通过各种方式向互联网散布恶意软件,对公众个人信息安全、财产安全和企事业单位信息安全构成严重威胁。1.1总体情况据《2021年360移动应用安全观测报告》统计,全年共检测到300551个含有恶意行为的应用程序。这些恶意程序广泛分布于第三方应用商店中。其中,存在恶意行为的游戏应用数量占全国恶意应用总数的31.45%,位居第一。其他类型的恶意应用程序包括财务规划、实用生活以及咨询和阅读。同年,卡巴斯基团队检测到3,464,756个恶意安装包。其中包括97,661个银行木马和17,372个勒索软件木马。此外,中国手机用户在遭受手机恶意软件攻击的手机用户中所占比例高达28%,位居全球第二。这些数量庞大的恶意软件严重危害个人隐私、经济利益乃至国家安全。1.2Android恶意软件行为分布目前Android平台恶意软件行为主要有隐私窃取、恶意扣费和资费消费等类型。用户在享受应用带来的便利的同时,也不容易意识到恶意软件带来的潜在风险。以下是几种典型的恶意行为:(1)在没有明确提示用户或未经用户许可的情况下,收集用户信息,包括姓名、生日、身份证、地址、电话号码等;(2)窃取用户隐私数据,如电子邮箱、聊天记录、账户密码、银行卡信息等,进而攻击用户的银行账户;(3)控制设备采集音视频,获取地理位置信息,实时监控用户及周围环境;(4)未授权提供通用的卸载方法,或在不受其他软件影响或人为损坏的情况下,卸载后程序仍然有效或残留;(5)诱导用户发送付费短信或购买付费应用,造成经济损失;长时间后台运行,占用系统资源,消耗设备电量,实施挖矿,刷流量等行为。2Android恶意代码的技术演进2.1传播技术Android平台上恶意软件的传播通常是通过诱导用户操作来触发恶意行为。以下是几种典型的诱导用户操作的传播方式:(1)恶意软件:攻击者传播恶意软件,伪装成常用应用上传到应用商店,诱导用户下载;(2)恶意链接:攻击者向目标用户发送包含恶意链接的邮件、短信或二维码,诱导用户点击或扫描,然后自动下载并安装恶意软件;(3)恶意广告:攻击者在网络广告中隐藏恶意链接,用户可能通过点击“X”关闭恶意广告跳转到非法网站。近年来,恶意应用程序得以活跃传播。例如,ADB.Miner挖矿木马利用网络端口扫描技术进行自我复制传播:利用5555端口上可公开访问的ADB调试端口扫描感染各种Android设备。这就是它的传播方式。此外,一些新型Android恶意软件利用“零点击”漏洞进行攻击,即攻击者向目标发送恶意链接或短信,无需目标点击即可安装恶意软件并进行攻击。为了实现零点击攻击,攻击者在手机操作系统或手机上安装的应用程序中寻找漏洞,然后使用隐藏的文本消息或图像文件将代码注入目标设备。一旦设备遭到破坏,用于利用它的消息就会自毁,从而消除攻击痕迹。除了通过互联网传播外,还有基于身体接触的传播方式。攻击者在移动电源中添加了一些攻击性硬件或篡改了公共充电线。当移动设备连接到被篡改的移动电源或公共充电线时,攻击者可以访问设备、窃取用户数据,甚至勒索赎金。2.2攻击实现技术移动终端在架构和用途上与计算机相似,例如可以下载、安装和运行应用程序,可以通过浏览器浏览网页。因此,一些针对计算机的恶意代码攻击技术逐渐应用到移动端,如WebView覆盖攻击、DDoS攻击等。除了上述传统的攻击方式外,攻击者还根据Android系统的特点和Android应用程序的运行方式,发展出多种攻击技术。近年来,Android平台上的恶意软件技术日趋成熟,其典型的实现方式包括以下几类:(1)窃取攻击窃取软件多见于特殊木马或银行木马。这类软件通常伪装成常用软件。用户下载安装后,攻击者可以实时监控设备屏幕,根据用户安装的应用列表获取已安装的银行应用,并通过远程控制指令下载对应的银行应用。恶意代码并将其注入银行应用程序。之后,诱导用户输入密码、短信验证码等,最终导致用户个人信息泄露和财产损失。窃取软件通常使用监控和远程控制技术:通过辅助功能服务实时共享屏幕,跟踪和记录应用程序列表和应用程序包名称,检索和窃取用户凭据和短信。(2)勒索软件攻击勒索软件又称“勒索软件”。攻击者锁定用户设备屏幕并更改密码或加密目标数据后,只有被感染的终端用户被迫支付赎金后,才能解锁或解密被劫持的资源。在Android平台上,成功运行勒索软件的关键是获取设备管理器权限。这个权限本来是厂商开发手机防盗功能的接口。用户只要安装此类应用并开启设备管理器权限,即可使用锁屏、重置密码、监控密码输入、擦除数据等功能。因此,一旦用户授予勒索软件设备管理器权限,攻击者就可以锁定用户手机并重置密码。为了获得此权限,一些勒索软件使用了点击提升技术:创建一个Activity来覆盖激活设备管理器权限的界面。通过单击虚假活动中的按钮,受害者无意中激活了设备管理器权限。(3)挖矿攻击Android平台的挖矿软件利用设备的CPU算力来挖取电子货币。攻击者首先通过挖矿木马远程控制用户手机,然后让手机在后台继续进行挖矿活动,为其谋利。挖矿方式通常是使用矿池进行挖矿,即嵌入开源矿池代码库进行挖矿,使用矿池提供的浏览器JavaScript脚本进行挖矿。2.3自我保护技术恶意代码自我保护技术主要包括隐藏、伪装和对抗分析。攻击者经常将恶意软件伪装成合法应用程序,例如游戏应用程序或防病毒应用程序,并将其发布在应用程序商店中以诱使用户下载。通过清空应用程序选项卡并在安装后使用透明图标来启用应用程序的隐蔽安装。采用动态加载、添加花式指令、加密通信数据等反病毒分析技术,抵御杀毒软件的自动沙箱检测和人工代码分析。3.Android恶意软件样本介绍Android恶意软件数量庞大。笔者选取了近年来广受关注的三个具有代表性的Android木马进行介绍。3.1Pegasus(飞马)Pegasus是以色列网络武器公司NSOGroup开发的一款间谍软件。其攻击范围涉及全球50多个国家和地区,被监控手机数量高达5万部。其中,西班牙首相佩德罗·桑切斯、西班牙国防部长玛格丽塔·罗伯斯、法国总统埃马纽埃尔·马克龙、伊拉克总统萨利赫和南非总统西里尔·拉马福萨包括10多名政治家和其他社会活动家、企业高管和媒体人士。Pegasus攻击包括从常用应用程序(如WhatsApp、Twitter、Gmail等)收集用户数据,以及通过命令与控制服务器(CommandandControlServer,C&C)使用短信、HTTP协议、MQTT协议发送控制命令,等短信、向服务器发送用户数据等)、键盘钩子(获取用户键盘输入)、调用麦克风、摄像头捕捉用户实时音视频数据等。图1Pegasus攻击流程示意图早期版本的Pegasus软件会通过短信的方式向用户发送恶意网址并诱导用户点击,用户点击后会下载该软件。该软件利用该漏洞获取root权限,进而获取终端数据并进行相关操作。升级后的Pegasus发送短信后,无需用户点击即可升级安装权限,通过读取浏览器记录或本地文件获取配置信息。启动后可以与C&C服务器隐蔽通信,收集和发送用户隐私数据,命令和数据经过加密算法加密。3.2SOVASOVA是ThreatFabric于2021年8月上旬发现的一种新型Android银行木马。SOVA在俄语中是猫头鹰的意思。作为夜间活动的猛禽的代表,猫头鹰安静而有效地追踪和捕食目标。SOVA木马的主要目标是获取屏幕访问权、读取和覆盖键盘以及控制通知栏。其主要目标是美国、英国和俄罗斯的金融机构。图22021年9月公布的SOVA研发路线研究人员一直在密切关注这款安卓银行木马的发展。2022年3月,SOVA更新至第三代,新增2FA拦截、cookie窃取、多银行注入等功能。Cookie窃取是指攻击者通过C&C服务器向目标终端发送“cookiestealer”命令。SOVA劫持用户的浏览器会话,用假网页替换真实网页,登录后窃取网站cookie。图3SOVA窃取cookie示意图2022年7月,研究人员发现SOVAv4。与SOVAv3相比,SOVA开发人员优化了其代码结构,以针对200多个应用程序,包括银行应用程序和加密货币交易程序。其恶意行为包括窃取设备数据、获取键盘输入、短信隐藏拦截、拒绝服务(DDoS)、中间人(MITM)攻击、对被攻击目标进行截图等,SOVA可抵抗卸载。当用户想要卸载程序时,它会被重定向到主屏幕,并通过弹窗提示用户“软件安全”。最新的SOVAv5增加了勒索软件(RANSOMSORT)功能,可用于破坏证据,影响数字取证。SOVA隐藏在伪造的Android应用程序中,通常使用一些知名应用程序的图标,如Chrome、亚马逊、NFT平台等。图4SOVA可能使用的应用程序图标虽然SOVAv5仍在测试和开发中,但它发展迅速,创意新颖,有可能成为其他安卓银行木马的学习对象。3.3TangleBotTangleBot于2021年9月首次披露,主要针对美国和加拿大的Android用户。攻击者向目标发送包含相应恶意链接的有关COVID-19疫苗接种信息、本地COVID-19政策信息和停电通知的短信。图5TangleBot向目标用户发送包含恶意链接的虚假文本消息。当用户点击短信中的恶意链接时,会提示需要升级AdobeFlashPlayer。当用户点击升级并按要求授权后,TangleBot就会安装到用户手机上。图6TangleBot诱骗用户升级安装AdobeFlashPlayer,TangleBot会获得SMS、CAMERA、CALL_PHONE等多项权限。攻击者可以通过C&C服务器向目标终端发送相关命令,控制通话和短信、记录键盘输入、调用摄像头和麦克风、截屏、获取剪贴板,从而控制用户终端,收集用户个人信息隐私数据。此外,TangleBot还可以进行HTML注入,生成虚假界面,诱骗目标输入个人信息。四、总结与建议目前,互联网上存在大量Android恶意软件,并且新的恶意软件不断发展,网络安全形势依然严峻。针对安卓恶意软件的防范措施主要包括:(1)从官方应用商店下载应用,避免从第三方网站下载应用;(2)下载时选择用户量大、用户评价好的应用;(3)不相信或下载“破解版”的应用程序;(4)不要点击通过短信、社交媒体等方式发送的不明链接;(6)在不使用应用时,尽可能关闭其相关权限;(7)当系统或应用软件提示“有新版本,可以更新”时,尽量更新系统。(8)使用安全公司提供的正版杀毒软件或手机自带的杀毒软件定期查杀病毒和检测手机软件。参考文献[1]2022年移动安全评论。[EB/OL][Jun.2022]www.AV-COMPARATIVES.org[2]2022年全球移动威胁报告–ZIMperium[EB/OL]https://www.zimperium.com/global-mobile-threat-report[3]RudieJD,KatzZ,KuhbanderS等人。nso集团的pegasus间谍软件技术分析[C]//2021计算科学与计算智能国际会议(CSCI)。IEEE,2021:747-752.[4]ChawlaA.Pegasus间谍软件——“隐私杀手”[J].可在SSRN3890657,2021.[5]SOVA安卓恶意软件的技术分析-muha2xmad[EB/OL][9月。2022]https://muha2xmad.github.io/malware-analysis/sova/[6]SOVA恶意软件卷土重来并迅速发展[EB/OL][8月。2022]https://www.cleafy.com/cleafy-labs/sova-malware-is-back-and-is-evolving-rapidly[7]Android银行木马SOVA以包括勒索软件在内的新功能回归[EB/OL][八月。2022]https://www.infosecurity-magazine.com/news/android-banking-trojan-sova-back/[8]TangleBot:NewAdvancedSMS恶意软件使用COVID-19诱饵[EB/OL][Sept.2021]https://www.cloudmark.com/en/blog/malware/tanglebot-new-advanced-sms-malware-targets-mobile-users-across-us-and-canada-covid-19[9]TangleBot:您需要了解的Android恶意软件[EB/OL][5月。2022]https://tweaklibrary.com/tanglebot-android-malware/[10]移动恶意软件:TangleBot解开[EB/OL][10月。2021]https://www.proofpoint.com/us/blog/threat-insight/mobile-malware-tanglebot-untangled[11]GDATA移动恶意软件报告:犯罪分子跟上Android恶意软件的步伐[EB/OL][十月2021]https://www.gdatasoftware.com/news/2021/10/37093-g-data-mobile-malware-report-criminals-keep-up-the-pace-with-android-malware[12]王思远,张杨森,曾建荣,等。Android恶意软件检测方法综述[J].ComputerApplicationsandSoftware,2021,38:9.[13]KouliaridisV,KambourakisG.安卓恶意软件检测机器学习技术综合综述[J].信息,2021,12(5):185.[14]2022年上半年中国手机安全状况报告通知[EB/OL][8月。2022]https://pop.shouji.360.cn/safe_report/Mobile-Security-Report-202206.pdf
