近年来,随着移动互联网产业的兴起,移动应用软件(App)逐渐渗透到社会生活的各个领域,App的种类和数量呈爆发式增长。第三方软件开发包(SDK)、移动应用接口(API)、人脸识别等生物技术广泛集成应用到移动应用软件中,为日益丰富的企业App功能和服务提供更多的技术解决方案。然而,随着更加复杂和新颖的恶意软件攻击手段的出现,针对移动商务应用的网络威胁也在快速演变,移动应用安全事件频发。调查数据显示,2021年全球近四分之一的企业组织遭受移动黑客攻击和数据泄露,造成数十亿美元的业务收入损失、维修费用和品牌声誉受损。1.移动应用攻击的新特点研究机构发现,移动应用攻击不断演变,对传统企业安全提出了新的挑战。以下是企业需要充分了解的移动应用攻击的新特征:1.设备端欺诈移动应用攻击领域最令人不安的新发展之一是恶意软件能够直接控制受害者的设备进行欺诈的设备。这种攻击方法被称为设备上欺诈(ODF),标志着移动应用程序攻击方式的重大转变。以前,移动应用程序攻击主要针对凭据盗窃和其他类型的数据泄露。ODF出现后,攻击者可以通过恶意软件直接控制受害者的设备进行诈骗活动。目前,安全人员已经在Octo、TeaBot、Vultur、Escobar等手机银行木马中发现了这种高级攻击方式。以Octo为例,恶意软件利用Android的MediaProjection服务(用于启用屏幕共享)和AccessibilityService(用于对设备进行远程操作),可以在用户不知情的情况下操作移动设备进行非法活动。虽然大多数ODF木马都是针对金融服务进行数据窃取,但这些模块稍加修改就可以攻击其他类型的账户和企业通讯工具,如Slack、Teams、GoogleDocs等。2.呼叫重定向另一种有害的攻击方法是呼叫重定向。研究人员在Fakecalls银行木马中发现了一种拦截合法电话的攻击方法,攻击者在应用程序安装过程中获得呼叫处理权限,并使用恶意软件使呼叫者在他们不知情的情况下断开连接。打开用户发起的呼叫连接并将呼叫重定向到另一个由攻击者控制的号码。由于通话画面持续显示合法电话号码,受害人无从知晓电话已转给非法来电者,也不太可能采取相应的安全措施,从而给受害人造成更大的财产损失。3.窃取NotificationDirectReply功能今年2月,FluBot间谍软件(5.4版)被曝窃取AndroidNotificationDirectReply功能的新方法,允许恶意软件在其目标应用程序中拦截并直接回复推送通知。此功能现在存在于其他移动恶意软件中,包括Medusa和Sharkbot。这种攻击模型允许恶意软件拦截双因素身份验证代码以执行欺诈性金融交易,并在需要时更改通知内容。此外,通知直接回复可用于通过向WhatsApp和FacebookMessenger等社交媒体应用程序发送自动恶意响应,以类似蠕虫的方式将恶意软件传播给受害者的联系人,这种技术被称为“推送消息网络钓鱼”。4、通过域名生成算法规避检测DGA(DomainGenerationAlgorithm,域名生成算法)是传统恶意软件经常使用的一种算法,可以定时生成大量的域名,使C&C服务器更加隐蔽,降低攻击检测的概率,增强僵尸网络的健壮性。今年年初,CheckPoint的研究人员在谷歌官方应用商店发现了多款用于传播AndroidSharkBot银行木马的恶意APP,并开始利用DGA算法规避现有的手机安全检测工具。黑白名单机制是应对DGA创建非法域名的一种检测手段,但如果具有DGA能力的移动应用攻击软件频繁创建大量新的域名和IP地址对其进行指挥控制(C2)服务器,这将对安全团队构成威胁。检测和阻止恶意软件具有挑战性,因为组织通常没有能力每天更新和维护域名黑名单库。5.绕过应用商店审查应用商店审查流程和恶意软件开发人员一直在与恶意软件开发人员玩猫捉老鼠的游戏,但最近一些新的网络犯罪策略似乎“更好”了。例如,CryptoRom犯罪活动利用Apple的TestFlight测试平台和WebClips功能中的缺陷成功绕过AppStore检测并将恶意软件分发给iPhone用户。不仅是苹果系统,一些网络犯罪分子也成功绕过谷歌应用商店的安全审查,通过购买合法的应用开发商,植入恶意SDK模块窃取用户个人数据。6.恶意软件功能的模块化和精简虽然采用模块化的方式设计恶意软件是很常见的,但现在发现的手机APP恶意软件都有一个系统的功能更新过程。例如,最近发现的Xenomorph恶意软件结合了模块化设计、可访问性引擎、基础架构优化和C2协议已经能够实现基于流程的功能更新和版本迭代,使其危害性和攻击能力增长更快,包括实现自动传输系统(ATS)功能。未来,更多的移动恶意软件家族将通过更完善的更新方式和流程,不断在受感染的移动设备上启用新的攻击功能。2、移动应用安全防护移动应用攻击正成为网络犯罪活动的主战场。大多数移动应用程序安全事件是由系统漏洞、不安全的编码实践和缺乏足够的安全测试能力引起的。为了对抗这些新的移动应用程序攻击媒介,组织需要确保其网络安全计划包括全面的防御措施,包括移动设备管理解决方案、多因素身份验证和有效的员工访问控制。此外,企业安全团队需要加强移动业务开发生命周期中的应用测试,更快发现漏洞,监控所有已部署的移动应用,降低重大移动应用安全事件发生的几率。组织可以通过动态移动应用程序安全测试、更好地培训移动开发人员以及更加重视移动应用程序安全性来避免此类事件。同时,在数字经济蓬勃发展的背景下,做好移动App应用的安全防护,不仅需要技术手段上的安全防护,更需要安全意识与管理运营同步提升。和维修水平。由于移动恶意软件感染通常大量使用社会工程将企业员工作为切入点,因此组织应提供安全意识培训并考虑监控这些攻击的通信状态的技术。参考链接:https://www.darkreading.com/application-security/6-scary-tactics-used-in-mobile-app-attacks。
