Hacking Team數(shù)據(jù)泄露事故表明，偽裝Android應(yīng)用可通過(guò)使用動(dòng)態(tài)加載技術(shù)繞過(guò)Google Play Store中的過(guò)濾功能。這種攻擊的工作原理是什么，用戶(hù)和企業(yè)可如何檢測(cè)這些惡意應(yīng)用?

[[161725]]

Michael Cobb：備受爭(zhēng)議的IT安全公司Hacking Team淪為網(wǎng)絡(luò)攻擊的受害者，攻擊者宣布他們正在通過(guò)Hacking Team自己的Twitter賬號(hào)將其客戶(hù)文件、合同、財(cái)務(wù)資料和內(nèi)部郵件提供公眾下載。(該公司專(zhuān)門(mén)向政府、執(zhí)法機(jī)構(gòu)和企業(yè)銷(xiāo)售“攻擊性”入侵和監(jiān)控工具及服務(wù)，這400GB泄露數(shù)據(jù)向我們揭露了政府和企業(yè)監(jiān)控及間諜活動(dòng)的精彩世界。)

在這些泄露的文件中還包含文件解釋如何使用Hacking Team的軟件，以及某些應(yīng)用的源代碼。安全軟件公司Trend Micro研究人員在這些數(shù)據(jù)中發(fā)現(xiàn)了惡意Android應(yīng)用樣本，該應(yīng)用偽裝成新聞app，并使用BeNews作為名稱(chēng)(這是現(xiàn)已解散的新聞網(wǎng)站的名稱(chēng))，這個(gè)app看似合法，并且，該應(yīng)用不包含漏洞利用代碼，在安裝時(shí)只要求三個(gè)權(quán)限。這種無(wú)害的偽裝讓它可通過(guò)Google Play的審批過(guò)程。然而，在安裝該應(yīng)用后，它會(huì)使用動(dòng)態(tài)加載技術(shù)執(zhí)行額外的代碼。

動(dòng)態(tài)加載讓?xiě)?yīng)用只加載需要的組件，在某些相關(guān)組件不總是需要時(shí)，這種被用來(lái)減小可執(zhí)行文件的大小以及提高性能。在這個(gè)假Android應(yīng)用的情況下，這種技術(shù)被用來(lái)延遲惡意代碼的加載，直至app通過(guò)審核以及被安裝。它安裝Hacking Team的RCSAndroid監(jiān)控程序，這被安全專(zhuān)家認(rèn)為是最復(fù)雜的Android惡意軟件。它可捕捉屏幕截圖、監(jiān)控剪貼板中的內(nèi)容、收集密碼、聯(lián)系人和信息，并可使用手機(jī)的麥克風(fēng)錄音。該app利用了特權(quán)升級(jí)漏洞—CVE-2014-3153，這是Android 2.2到4.4.4中存在的漏洞，用以繞過(guò)設(shè)備安全以及允許遠(yuǎn)程攻擊者訪問(wèn)。

在從Google Play移除之前，這個(gè)假的BeNews應(yīng)用被下載多達(dá)50次，現(xiàn)在這個(gè)應(yīng)用以及Hacking Team的其他軟件的源代碼已經(jīng)公開(kāi)，網(wǎng)絡(luò)罪犯肯定會(huì)利用它來(lái)添加新的或改進(jìn)的功能到他們自己的攻擊工具。不過(guò)，從好的方面來(lái)看，泄露的數(shù)據(jù)包含大量信息可供安全研究人員用于調(diào)查從未被披露或修復(fù)的其他漏洞。Hacking Team也建議可使用沙箱技術(shù)來(lái)阻止攻擊者利用漏洞攻擊設(shè)備。希望這將鼓勵(lì)供應(yīng)商開(kāi)發(fā)更好的工具以及更多地利用這種緩解技術(shù)。

企業(yè)應(yīng)該通過(guò)安全消息推送隨時(shí)了解這個(gè)快速變化的移動(dòng)安全環(huán)境，并確保聯(lián)網(wǎng)的移動(dòng)設(shè)備保持更新和修復(fù)?，F(xiàn)在有很多移動(dòng)保護(hù)套件可提供額外的保護(hù)以防止惡意應(yīng)用繞過(guò)app store和OS安全措施，這包括Trend Micro的Mobile Security for Android、ESET Mobile Security for Android以及McAfee Mobile Security，這些都是企業(yè)版本。