雷鋒網註:【 圖片來源:SecurityIntelligence 所有者:SecurityIntelligence 】
對於許多手機用戶來說,遭到惡意軟件的攻擊並不怎麼新鮮。但近幾個月來,惡意軟件的開發者變得越來越狡猾猖狂,他們已經能夠輕易地隱藏或部署這些具有破壞力的軟件,更重要的是,他們越來越激進。這種趨勢讓廣大移動用戶受到威脅。
Kaspersky 實驗室曾發佈了一份《2018 年移動惡意軟件發展情況報告》,報告顯示,受到惡意軟件攻擊的設備數量從 2017 年的 6640 萬台飆升至 2018 年的 1.165 億台。報告還顯示,從 2017 年到 2018 年,”Trojan-droppers”(一種惡意軟件)的數量翻了一番。惡意軟件的質量(精確性和影響力)也在不斷增強。
在 McAfee 公司最近發佈的報告表示,數十家應用商店都隱藏着山寨應用,這類應用在 2018 年年中大概只有 1 萬個,然而,預計到 2019 年年底,數量會升至 6.5 萬個。
此外,Verizon 公司最近進行的調查結果顯示,大多數受訪者都認為自己的公司處在被惡意軟件攻擊的風險之中。有三分之一的公司承認,遭到惡意攻擊後,他們都選擇了妥協。而且,有超半數的人表示,他們為了完成工作必須 ” 犧牲 ” 安全,比如使用不安全的公共 WiFi,哪怕這樣存在安全隱患。
所有數據都表明,移動設備遭受的威脅正飛速增長,然而,這並不能阻擋惡意軟件的發展。我們應該做好心理准備,這一系列的數字在 2019 年都會大幅增長。
Anubis 的規避策略
一般來說,利用應用程序來傳播惡意軟件是最有效的方式。惡意軟件要想潛入非正規的應用商店十分簡單,因為這種應用商店很少或根本不會對這些軟件進行篩查。但可怕之處在於,惡意軟件要想通過正規應用商店的檢查也很簡單。
我們先來瞧一瞧新型惡意軟件 Anubis 是如何將 ” 創新 ” 發揚光大的。
在Google的 Play store 中,Anubis 至少植入在兩個應用程序里。狡猾的 Anubis 的開發者發現,Google安全員一般使用模擬器搜索應用程序中的木馬,所以,他們利用目標手機的運動傳感器來隱藏自己的惡意軟件。
他們把 Anubis 設定成檢測到運動後才激活,因此,這種惡意軟件對研究員來說是隱形的。只有用戶的運動傳感器開始運行,Anubis 才可以激活。
Trend Micro 公司今年 1 月報導稱,通過檢測運動實現激活的 Anubis 出現在兩個看似正常的應用程序中,一個是 4.5 星評級的電池擴展程序,另一個是貨幣轉換器。Anubis 激活之後,為了竊取憑證會安裝一個鍵盤記錄程序,或者直接截屏。
clipper 潛入 play store
除了之前提到的 Anubis,今年 2 月,安全公司 ESET 在Google的 play store 中發現的第一個 clipper 惡意軟件:Android/Clipper.C。
以前,這種惡意軟件常常出沒在非正規的應用商店里,然而現在,它已潛入正規應用商店。
這種惡意軟件會用其他數據替換設備剪貼板里的內容,比如,該軟件會在用戶進行加密貨幣交易時切換存款帳戶,將交易轉移到其他帳戶。
此外,Android/Clipper.C 還試圖竊取憑證和私鑰,並將它們發送到攻擊者的 Telegram 賬戶,竊取以太坊的資金。它還可以更換以太坊或比特幣錢包地址。
根據Google的數據,在 2018 年,play store 里潛在有害應用程序 ( PHA ) 的安裝率約為 0.04%。然而,我們不該對這個利率的微小而感到安慰,因為這個幾率代表着你每下載 2500 次,就會有一次安裝到 PHA,或者說,一個擁有數千名員工的公司可能安裝了很多 PHA。
一不小心就中了頭彩
今年 1 月,科技公司 Upstream 發現,Alcatel 的智能手機 Pixi4 和 A3 Max 里安裝了惡意軟件。這就意味着,即便是通過合法渠道購買的全新手機也有可能含有惡意軟件。
惡意軟件隱藏在預裝的天氣應用程序中,這款天氣應用可以在Google Play store 上下載,下載量超過 1000 萬次。目前,它已經被下架。
該惡意軟件收集了各種各樣的數據,如位置信息、電子郵件地址和 IMEI 碼,並將其發送到遠程服務器。不僅如此,它還有可能加載了廣告軟件,或悄悄為用戶訂閱了付費的服務。
到目前為止,尚不清楚惡意代碼究竟是如何進入天氣應用程序的。但人們普遍認為,程序開發人員使用的個人電腦遭到了黑客攻擊。
” 禍 ” 從相冊來
之前的例子大概都是因為自己的騷操作而導致中招。其實,哪怕你的手機沒有下載任何應用程序,也有被惡意軟件攻擊的風險。
安卓系統有一個新的 bug,這個 bug 會讓黑客進行惡意編碼的圖片進入系統相冊,從而攻擊智能手機。Google在 2 月份發現了這個 bug,並進行了修復,還發表了一份關於這個 bug 的安全公告。
然而,值得注意的是,絕大多數安卓手機不會經常更新,也不能及時獲得修正檔。
雷鋒網註:【 圖片來源:SecurityIntelligence 所有者:SecurityIntelligence 】
影錘行動制霸華碩
雖然智能手機是惡意軟件的重災區,但是,電腦也深受其害。
前不久,數十萬台華碩電腦在影錘行動(ShadowHammer Operation)中遭到攻擊,感染了惡意代碼。隨後,華碩通過安全更新刪除了這段代碼。
然而,本次攻擊並不是由存在安全隱患網站或電子郵件釣魚引起的。相反,攻擊者利用了華碩的實時更新工具,並通過華碩的合法代碼簽名證書進行了認證。他們掃瞄用戶的 MAC 地址,一旦確定了目標機器就會從遠程服務器發起攻擊。影錘行動因此一舉成名。
喬治敦大學法律和計算機科學教授 Matt Blaze 在《紐約時報》的一篇評論文章中寫道,盡管用戶遭到了攻擊,但是,現在讓軟件不斷更新比以往任何時候都更重要。
人們可能會關閉自動更新功能,這樣可能會錯過安裝關鍵修正檔,這會讓你暴露在更大的危險中。Blaze 補充說,” 事實上,現在是檢查你的設備,確保自動系統更新功能開啟並運行的好時機。”
同樣值得注意的是,隨着物聯網設備的普及,此類攻擊的可能性大大增加。
束手就擒,還是全面反抗?
我們也許無法輕易預見惡意軟件將對移動安全造成怎樣的危害,但可以預見的是,威脅將繼續上升,新的攻擊手段將層出不窮,移動設備仍是與惡意軟件激戰的戰場。
解決這些問題的重點並不在於加強對上文所提惡意軟件的防範,而是要理解日益增長的威脅,並為之做好準備。以下是一些相關的策略:
1. 保持設備處於最新狀態(即自動更新)
2. 堅持使用官方或授權的應用程序商店
雖然文中許多案例出自Google官方的應用商店,但是,這些應用商店一旦發現威脅,就會立即刪除。但對於未經授權的應用商店來說,情況就不一樣了。
3. 儘量減少安裝的應用程序數量,並青睞信譽良好的應用程序開發人員
4. 採用全面的方法來防範可預測,甚至不可預測的威脅
5. 要知道,一些新威脅只能通過強大 AI 工具阻止
6. 改進使用公共 WiFi 的政策,並妥善管理公共 WiFi
沒有人能預測新型惡意軟件會如何滲透到人們使用的移動設備中,但遭到攻擊是極有可能發生的事情。我們不能再把這些威脅停留在理論上,或認為這些問題的解決次於其他工作。是時候要採取行動了。
雷鋒網註:原文作者 Mike Elgan,由雷鋒網編譯自SecurityIntelligence
【封面圖片來源:網站名Google,所有者:Google】
來源:雷鋒網
