把手機(jī)變“肉雞”——移動(dòng)應(yīng)用攻擊的新特點(diǎn)與防護(hù)

移動(dòng)應(yīng)用攻擊領(lǐng)域最令人不安的新動(dòng)向之一,是惡意軟件能夠直接控制受害者的終端設(shè)備來實(shí)施欺詐行為。這種攻擊方法被稱為設(shè)備端欺詐(ODF),它標(biāo)志著移動(dòng)應(yīng)用程序攻擊方式的一個(gè)重大轉(zhuǎn)變。

QQ截圖20220104093506.png

本文來自微信公眾號(hào)“安全牛”。

近年來,隨著移動(dòng)互聯(lián)產(chǎn)業(yè)的興起,移動(dòng)應(yīng)用軟件(App)逐漸滲透到社會(huì)生活的各個(gè)領(lǐng)域,App種類和數(shù)量呈爆發(fā)式增長(zhǎng)。第三方軟件開發(fā)包(SDK)、移動(dòng)應(yīng)用接口(API)、人臉識(shí)別等生物技術(shù)廣泛集成、應(yīng)用于移動(dòng)應(yīng)用軟件中,為日益豐富的企業(yè)化App功能、服務(wù)提供了更多技術(shù)解決方案。

然而,隨著更復(fù)雜、更新穎的惡意軟件攻擊方法出現(xiàn),移動(dòng)業(yè)務(wù)應(yīng)用的網(wǎng)絡(luò)威脅也正在迅速演變,移動(dòng)應(yīng)用安全事件頻繁發(fā)生。調(diào)查數(shù)據(jù)顯示,2021年全球有接近四分之一的企業(yè)組織遭受過移動(dòng)端的黑客攻擊和數(shù)據(jù)泄漏,為企業(yè)造成了數(shù)十億美元的業(yè)務(wù)收入損失、修復(fù)成本和品牌聲譽(yù)損害等。

1

移動(dòng)應(yīng)用攻擊的新特點(diǎn)

研究機(jī)構(gòu)發(fā)現(xiàn),移動(dòng)應(yīng)用攻擊正在不斷升級(jí)演變,對(duì)傳統(tǒng)企業(yè)安全帶來新的挑戰(zhàn)。以下是企業(yè)需要充分了解的移動(dòng)應(yīng)用攻擊新特點(diǎn):

1.設(shè)備端欺詐

移動(dòng)應(yīng)用攻擊領(lǐng)域最令人不安的新動(dòng)向之一,是惡意軟件能夠直接控制受害者的終端設(shè)備來實(shí)施欺詐行為。這種攻擊方法被稱為設(shè)備端欺詐(ODF),它標(biāo)志著移動(dòng)應(yīng)用程序攻擊方式的一個(gè)重大轉(zhuǎn)變。此前,移動(dòng)應(yīng)用程序攻擊主要針對(duì)憑證竊取及其他類型的數(shù)據(jù)泄露,ODF出現(xiàn)以后,可以使攻擊者通過惡意軟件直接控制受害者的設(shè)備實(shí)施欺詐行為。

目前,安全人員已經(jīng)發(fā)現(xiàn)這種高級(jí)攻擊手法出現(xiàn)在移動(dòng)銀行木馬中,比如:Octo、TeaBot、Vultur和Escobar。以O(shè)cto為例,惡意軟件利用安卓的MediaProjection服務(wù)(用于啟用屏幕共享)和Accessibility Service(用于在設(shè)備上遠(yuǎn)程執(zhí)行操作),可以在用戶無感知的情況下操作手機(jī)設(shè)備實(shí)施非法活動(dòng)。

雖然大多數(shù)ODF木馬針對(duì)金融業(yè)務(wù)實(shí)施數(shù)據(jù)竊取,但這些模塊稍加改動(dòng),就可以針對(duì)企業(yè)其他類型的賬戶和通訊工具,比如Slack、Teams和Google Docs展開攻擊。

2.電話呼叫重定向

另一個(gè)頗具危害的攻擊方法是電話呼叫重定向。研究人員在Fakecalls銀行木馬中,發(fā)現(xiàn)了攔截合法電話呼叫的攻擊手段,在這種攻擊中,攻擊者在應(yīng)用程序安裝期間獲得呼叫處理權(quán)限,通過惡意軟件使呼叫者在不知情的情況下,斷開用戶發(fā)起的呼叫連接,并將呼叫重定向至攻擊者控制的另一個(gè)號(hào)碼。由于呼叫屏幕繼續(xù)顯示合法電話號(hào)碼,因此受害者無法知道通話已被轉(zhuǎn)移到非法的呼叫對(duì)象,因此也不太可能采取相應(yīng)的安全措施,因此會(huì)給受害者造成較大的財(cái)產(chǎn)損失。

3.竊取通知直接回復(fù)功能

今年2月,F(xiàn)luBot間諜軟件(版本5.4)被曝出盜用安卓通知直接回復(fù)(Notification Direct Reply)功能的新手法,讓惡意軟件得以攔截并直接回復(fù)其目標(biāo)應(yīng)用程序中的推送通知。這項(xiàng)功能目前也出現(xiàn)在了其他移動(dòng)端惡意軟件中,包括Medusa和Sharkbot。這種攻擊模式讓惡意軟件可以攔截雙因素身份驗(yàn)證碼來實(shí)施欺詐性金融交易,并在需要時(shí)篡改通知的內(nèi)容。

此外,通知直接回復(fù)功能還可被用于通過向社交媒體應(yīng)用(比如WhatsApp和Facebook Messenger)發(fā)送自動(dòng)惡意響應(yīng),以類似蠕蟲的方式將惡意軟件傳播給受害者的聯(lián)系人,這種手法名為“推送消息網(wǎng)絡(luò)釣魚”。

4.通過域生成算法規(guī)避檢測(cè)

DGA(Domain Generation Algorithm,域名生成算法)是一種傳統(tǒng)惡意軟件經(jīng)常使用的算法,可定期生成大量域名,讓C&C服務(wù)器更加隱蔽,降低攻擊發(fā)現(xiàn)幾率,增強(qiáng)僵尸網(wǎng)絡(luò)的魯棒性。今年初,Check Point公司的研究人員在谷歌官方應(yīng)用商店中發(fā)現(xiàn)了多個(gè)用于傳播Android SharkBot銀行木馬的惡意APP應(yīng)用,也開始采用DGA算法來躲避現(xiàn)有的移動(dòng)安全檢測(cè)工具。

黑白名單機(jī)制是一種應(yīng)對(duì)DGA非法域名創(chuàng)建的檢測(cè)方式,但是如果帶有DGA能力的移動(dòng)應(yīng)用攻擊軟件為其指揮和控制(C2)的服務(wù)器頻繁創(chuàng)建大量新域名和IP地址,這將給安全團(tuán)隊(duì)檢測(cè)和阻止惡意軟件帶來很大挑戰(zhàn),因?yàn)槠髽I(yè)通常沒有能力每天都更新、維護(hù)域名黑名單庫(kù)。

5.繞過應(yīng)用程序商店審查

應(yīng)用程序商店的審查流程與惡意軟件開發(fā)人員一直在玩貓捉老鼠的游戲,不過,最近網(wǎng)絡(luò)犯罪的一些新手法似乎“更勝一籌”。比如,CryptoRom犯罪活動(dòng)利用了蘋果公司的TestFlight beta測(cè)試平臺(tái)和Web Clips功能的缺陷,成功繞過應(yīng)用程序商店的檢測(cè),將惡意軟件分發(fā)到iPhone用戶。不僅是蘋果系統(tǒng),一些網(wǎng)絡(luò)犯罪分子也成功繞過Google應(yīng)用商店的安全審查,通過收買合法應(yīng)用程序的開發(fā)者,在其中植入惡意SDK模塊來竊取用戶的個(gè)人數(shù)據(jù)。

6.惡意軟件功能模塊化、流程化

雖然采用模塊化方式設(shè)計(jì)惡意軟件已較為常見,但現(xiàn)在發(fā)現(xiàn)的移動(dòng)APP惡意程序開始有體系化的功能更新流程,比如近期發(fā)現(xiàn)的Xenomorph惡意軟件通過結(jié)合模塊化設(shè)計(jì)、可訪問性引擎、基礎(chǔ)架構(gòu)優(yōu)化和C2協(xié)議,已能夠?qū)崿F(xiàn)流程化的功能更新和版本迭代,使其危害性和攻擊能力更快速地增長(zhǎng),包括自動(dòng)傳輸系統(tǒng)(ATS)功能的實(shí)現(xiàn)。將來,更多的移動(dòng)惡意軟件家族會(huì)通過更完整的更新模式和流程,在受感染的移動(dòng)設(shè)備上不斷啟用全新的攻擊功能。

2

移動(dòng)應(yīng)用安全防護(hù)

移動(dòng)應(yīng)用攻擊正在成為網(wǎng)絡(luò)犯罪活動(dòng)的主戰(zhàn)場(chǎng)。大多數(shù)移動(dòng)應(yīng)用安全事件是由系統(tǒng)漏洞、不安全的編碼實(shí)踐,以及缺乏足夠的安全測(cè)試能力造成的。為了應(yīng)對(duì)這些新的移動(dòng)應(yīng)用攻擊手法,企業(yè)需要確保其網(wǎng)絡(luò)安全計(jì)劃中包含了全面的防御手段,包括移動(dòng)設(shè)備管理解決方案、多因素身份驗(yàn)證以及有效的員工訪問控制等。

此外,企業(yè)安全團(tuán)隊(duì)需要在移動(dòng)業(yè)務(wù)開發(fā)生命周期中加強(qiáng)對(duì)應(yīng)用的測(cè)試,更快地發(fā)現(xiàn)漏洞,同時(shí)監(jiān)控部署的所有移動(dòng)應(yīng)用,以降低發(fā)生重大移動(dòng)應(yīng)用安全事件的幾率。企業(yè)可以通過動(dòng)態(tài)移動(dòng)應(yīng)用安全測(cè)試、對(duì)移動(dòng)開發(fā)人員的更好培訓(xùn)以及更加重視移動(dòng)應(yīng)用安全來避免發(fā)生這類事件。

同時(shí),在數(shù)字經(jīng)濟(jì)蓬勃發(fā)展的大背景下,做好移動(dòng)App應(yīng)用安全防護(hù)不僅需要技術(shù)手段上的安全防護(hù),還需要安全意識(shí)和管理運(yùn)維水平的同步提升。由于移動(dòng)惡意軟件感染通常會(huì)大量利用社會(huì)工程學(xué)方法,以企業(yè)中的員工作為攻擊突破口,因此企業(yè)應(yīng)提供安全意識(shí)培訓(xùn),并考慮針對(duì)這些攻擊采用監(jiān)控通信狀態(tài)的技術(shù)。

參考鏈接:

https://www.darkreading.com/application-security/6-scary-tactics-used-in-mobile-app-attacks

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論