多年来,移动攻击一直与移动互联网经济密切相关,但它的威胁正在迅速演变和升级。随着犯罪分子和民族国家黑客继续探索在iPhone和Android智能手机上安装具有高级功能的恶意程序的新方法,移动平台正面临越来越大的威胁。攻击者现在正在积极部署类似蠕虫的恶意软件,这些恶意软件具有完整的远程访问功能、模块化设计,并且有可能对用户和公司构成重大威胁。这些恶意软件家族中的许多都通过定期开发更新不断改进,网络犯罪分子也越来越擅长绕过官方应用商店审查程序。与此同时,美国和欧盟都在考虑新的反垄断法规,可能会使“旁加载”应用程序成为消费者的一项权利,从而进一步提高移动应用程序的安全风险。以下是企业需要密切关注并积极解决的六种移动恶意软件策略:1.设备端欺诈(ODF)最令人担忧的新移动恶意软件功能之一是能够直接从受害者的手机活动发起和执行欺诈活动.这种高级功能被称为设备上欺诈(ODF),已在最近的移动银行木马中检测到,最著名的是Octo、TeaBot、Vultur和Escobar。在Octo的案例中,恶意软件利用了Android的MediaProjection服务(启用屏幕共享)和辅助功能服务(在设备上远程执行操作)。Escobar和Vultur等VNC查看器的实施也启用了这种手动远程访问功能。ODF标志着移动攻击的一个重要转折点:攻击的重点正从凭据盗窃和数据泄露转向欺诈实施。值得注意的是,虽然大多数ODF木马主要用于进行金融盗窃,但这些模块也可用于攻击其他类型的企业账户和通讯协作工具,如Slack、Teams和GoogleDocs。2.呼叫重定向另一个令人不安的功能是拦截合法呼叫,最近出现在Fakecalls银行木马中。在这种攻击中,恶意软件可以在呼叫者不知情的情况下断开用户发起的呼叫,并将呼叫重定向到攻击者控制的另一个号码。由于通话屏幕继续显示合法的电话号码,受害者无法知道他们已被转移到虚假电话服务。恶意软件通过在应用程序安装期间获得呼叫处理权限来做到这一点。3.NotificationDirectReply功能滥用今年2月,间谍软件FluBot(5.4版)引入了一项滥用AndroidNotificationDirectReply的新功能,允许恶意软件拦截并直接回复其目标应用程序中的推送通知。此功能也存在于其他移动恶意软件中,包括Medusa和Sharkbot。这种独特的功能允许恶意软件签署欺诈性金融交易、拦截双因素身份验证代码并修改推送通知。此功能还可以通过发送对社交软件通知的自动恶意响应,以类似蠕虫的方式将恶意软件传播给受害者的联系人,这种策略称为“推送消息网络钓鱼”。4.域生成算法Sharkbot银行木马还有一个值得注意的特征:域生成算法(DGA),可以用来逃避检测。与其他采用DGA算法的传统恶意软件一样,移动恶意软件不断为其命令和控制(C2)服务器创建新的域名和IP地址,这使得安全团队难以检测和阻止恶意软件。一个玩捉老鼠游戏的地方,但最近一些新的网络犯罪策略值得注意。例如,CryptoRom犯罪活动滥用Apple的TestFlightbeta测试平台和WebClips功能,通过完全绕过AppStore向iPhone用户提供恶意软件。A犯罪分子设法绕过GooglePlay安全审查流程的另一种方式是向开发人员付费,让他们在他们的应用程序中使用他们的恶意SDK,然后窃取用户的个人数据。Droppers用于移动恶意软件分发6.更复杂的开发实践模块化恶意软件设计并不新鲜,攻击更强大作者还在开发具有高级更新功能的Android银行木马,例如最近发现的Xenomorph恶意软件。Xenomorph结合了模块化设计、可访问性引擎、基础架构和C2协议以提供重要的更新功能,使其成为更高级的木马,包括自动传输系统(ATS)功能。展望未来,更多的移动恶意软件系列将采用更好的更新流程,从而在受感染的设备上启用增强功能和新功能。摘要:针对这些新的移动恶意软件策略和威胁的针对性防御策略,组织需要确保其网络安全计划包括强大的移动安全防御,其中包括移动设备管理解决方案、多因素身份验证和强大的员工访问控制。而且,由于移动恶意软件感染通常始于社会工程,公司应积极提供安全意识培训,并考虑部署技术来监控移动攻击的通信渠道。
