Android是否存在網路注入攻擊？

Web注入攻擊

MiT-browser (MiTB)

如今大多數人都使用網上銀行，而黑客正是利用這個機會，通過發動這種網頁代碼注入攻擊，能夠修改被感染用戶設備瀏覽器中的銀行主頁

MiTB攻擊就發生在這個時候，攻擊者會誘導你下載木馬，一旦你訪問特定的銀行網站的時候，惡意軟體就會使用包括注入惡意DLL，惡意擴展或通過欺騙代理伺服器或其他方式往你訪問的頁面注入更複雜的惡意代碼，MiTB會把它自己直接集成到網頁上，還能保持原有的域名和SSL設置，看起來和真正的網頁一樣，然後誘導你輸入SSN號、ATM PIN碼或是銀行路由代碼，進而攔截銀行發給你的一次性SMS消息，收集你的銀行詳細信息等，比如對Boletos的攻擊就是典型的MiTB攻擊。

Belotos是巴西最常見的一種支付賬單或購買商品的支付手段（類似於中國的支付寶），甚至被政府機構採用。它是巴西市場上一種獨特的現象。Boleto是一種特殊的紙質文書，上面包含一個條形碼和一串特殊的44位ID代碼。用戶在使用Beletos購買商品或支付服務時會將該憑證列印出來，接著通過銀行、ATM機或在線銀行賬戶掃描條形碼或輸入ID代碼，之後通過現金或數字支付完成交易。每張Boleto的條形碼和44位ID代碼均不相同，賦予Boleto不同的購買範圍，以免出現任何差錯。

欺詐過程：大多數在線服務會自動發行Boletos，這種文書及其支付憑證會在用戶設備的瀏覽器中生成。而網路罪犯就是在這一環節介入的。他們會使用多種惡意手段，偷偷更改支付憑證。尤其會更改條形碼和ID代碼，將支付重定向到不同的銀行賬戶。大多數用戶在意識到支付被更改時，已為時已晚。所以，其欺詐過程為：受害者在不知情的情況下，將錢支付給欺詐者的銀行賬戶，而受害者還以為自己進行了正常的購買和支付。

網路罪犯使用的惡意技術. 巴西的網路罪犯會使用大量不同的惡意技術引誘受害者落入Boletos欺詐的圈套。卡巴斯基實驗室檢測到的最早的案例發生於2013年4月。在這次攻擊中，網路罪犯使用木馬在受害者的瀏覽器中注入惡意代碼。其攻擊原理與知名的SpyEye銀行木馬相同。

網路罪犯甚至可以使用SSL加密，攻擊Boletos的發行服務。卡巴斯基實驗室分析的一款惡意軟體中使用了一種名為Fiddler的網路調試代理工具。有些Boleto惡意軟體使用這種工具攔截SSL通訊，或發動中間人攻擊，甚至在Boletos在HTTPS頁面生成時，就做了更改。

在另一起攻擊案例中，巴西的網路欺詐者借用了加密惡意軟體有效負載的技術手段，而這一技術最早被ZeuS/Gameover的開發者所使用。通過使用加密的有效負載，能夠讓網路罪犯有效地繞過防火牆、網頁過濾器、網路入侵檢測系統和其他可能存在的防禦措施。在這項技術中，網路罪犯會使用一款小體積的木馬下載加密文件，之後解密這些文件，完成感染。

此外，還有人發現網路罪犯會使用針對Chrome瀏覽器的惡意擴展，而且是通過官方Chrome網上應用商店成功進行傳播。另外針對Firefox的擴展同樣也被使用。

MiTB攻擊的目的不同於在社交網路或流行網站上利用廣告來吸引用戶從而竊取用戶的賬戶信息，它的作案方式更像是Lurk銀行木馬。

Lurk木馬是一種複雜的、通用的、多模塊的多功能惡意軟體，能夠獲取受害者計算機的訪問許可權。Lurk木馬非常獨特，它的惡意代碼不會存儲在受害者的計算機中，而是在隨機訪問存儲器(RAM)中。

同時，在俄羅斯，黑客使用MiTB攻擊的機會正在減少，因為網路犯罪分子正在選擇其他方法和攻擊載體來攻擊銀行用戶。根據目前的網路犯罪趨勢，使用現成的惡意攻擊工具比新開發和實施網路注入工具要容易得多。

儘管如此，我們還是要討論一下是否有針對Android設備的網路注入攻擊？

Android上的Web注入

儘管術語「注入」被用於移動銀行木馬（有時也被網路犯罪分子用來評價他們的數據竊取技術），但Android惡意軟體是一個完全不同的世界。為了在Android環境中實現和計算機上的網路注入工具所帶來的相同攻擊效果，移動木馬的開發者使用一種完全不同的攻擊技術：用網路釣魚窗口覆蓋其他應用，並將用戶從銀行網頁重定向到特製網路釣魚頁面。

使用網上誘騙窗口覆蓋正常應用窗口

這是最流行的誘騙技術了，幾乎所有銀行木馬都在使用這一招。 2013年， 卡巴斯基實驗室第一次遇到一個惡意軟體覆蓋其他應用程序與其網路釣魚窗口，這就是Trojan-Banker.AndroidOS.Svpeng。

這款木馬之所以危險，不僅是因為它能獲取銀行登錄憑證，還因為它可以攔截並刪除銀行發送的簡訊息，此外還假冒銀行給用戶發送信息。通常情況下，當可疑操作被發現時，銀行會給用戶發送提醒和通知，但該惡意軟體有能力刪除此類信息。

除此之外，大多數銀行有網上銀行交易的安全協議，要求用戶驗證通過簡訊息收到的交易碼。這種情況下，這款惡意軟體可以攔截銀行發送的信息，從而給潛在黑客提供需要的所有信息，進行欺詐交易。

今天的移動銀行木馬經常將自己隱藏在Google Play商店中的其他應用程序中，這是為了竊取用戶的銀行卡詳細信息。

除此之外，這些木馬還經常覆蓋各種社交媒體和即時通訊應用程序竊取用戶的賬號和密碼。

然而，移動銀行木馬還是對金融應用程序，主要是銀行應用程序最感興趣。

目前總共有三種針對移動操作系統的MiTB攻擊方法：

1.一個特殊的木馬窗口（比如假冒的銀行窗口），由網路罪犯預先製作，用於覆蓋另一個應用程序的窗口。這類木馬就會用自己的界面將原有銀行app界面整個覆蓋掉。只要用戶輸入登錄憑證，惡意軟體立即竊取相關的信息。

尤其小心那些要求獲得訪問簡訊許可權的app，比如Acecard家族的移動銀行木馬就能模仿超過30種銀行app或依照命令覆蓋任何app的操作界面。

並可以按照C&C伺服器命令覆蓋任何應用程序。

#Android trump card: Acecard https://t.co/yHxyACMslU #bankingpic.twitter.com/DmnUAOJvSM— Kaspersky Lab (@kaspersky) February 22, 2016

2.通過網路釣魚的方式獲取用戶的管理許可權，比如Marcher家族的木馬，原本Marcher只通過假冒的Amazon及Google Play Store app來誘騙用戶，但後來研究人員發現Marcher已經可以假冒Android軟體的更新方式，它在用戶安裝Firmware_Update.apk時，欺騙用戶說有漏洞，然後要求用戶儘快安裝升級該應用。而在安裝時，Marcher會要求用戶修改他們的管理許可權。

3.從惡意伺服器下載模板頁面，向其中添加要攻擊應用程序的圖標和名稱。比如Faketoken木馬，這個木馬被卡巴斯基發現並命名為。顧名思義，該木馬的主要特徵是能夠生成2000多個金融應用的虛假登錄屏幕，從而竊取登錄憑證。Faketoken還能夠通過向受害者顯示釣魚頁面，以竊取信用卡信息。

研究人員注意到，Faketoken木馬新版本集成文件加密功能，Faketoken的文件加密功能是在2016年7月以後開始出現的，並且已發布數千個包含新功能的版本。卡巴斯基在博文中表示：「我們已成功檢測到數千個能夠加密數據的Faketoken安裝包，最早的一個可追溯至2016年7月。

「Trojan-Banker.AndroidOS.Faketoken偽裝成各種程序和遊戲，常常模仿Adobe Flash Player。」

研究人員確認稱，受害者人數超過16000名用戶。他們監測到了在27個國家的感染，大部分位於俄羅斯、烏克蘭、德國和泰國。

應該注意的是，從Android 6開始，為了達到攻擊目的，FakeToken木馬還必須誘騙用戶允許它們使用各種管理許可權。

隨著新版本的Android越來越受歡迎，越來越多的移動銀行木馬開始需要請求這樣管理許可權。

將用戶從銀行的頁面重新定向到網上誘騙頁面

目前，卡巴斯基實驗室只在Trojan-Banker.AndroidOS.Marcher家族中發現使用了這種技術。據估計，將用戶重定向到網上誘騙頁面的最早版本應該不早於2016年4月，而最新版本也是2016年11月發布的。

將用戶從移動銀行的頁面重誘騙到網上的過程如下：

首先，Trojan-Banker.AndroidOS.Marcher會修改瀏覽器書籤，其中包括當前打開的頁面。這樣Trojan-Banker.AndroidOS.Marcher就會知道哪個網頁是當前打開的，如果這個頁面恰好是攻擊目標網頁之一，Trojan-Banker.AndroidOS.Marcher就會在同一瀏覽器中打開相應的仿冒頁面，並將用戶重定向到那裡。目前卡巴斯基實驗室已經找到Marcher家族特的100個仿冒頁面。

不過在這裡，需要注意兩點：

1.卡巴斯基實驗室能夠檢測到的Marcher木馬，目前已經不再使用此技術。

2.使用這種技術修改的最總目的也是要用釣魚的方法覆蓋其他應用程序。

為什麼是將用戶從銀行的頁面重新定向到網上誘騙頁面使用率會這麼低呢？

1.在Android 6及更高版本中，此技術不再有效，這意味著潛在受害者的數量每天都在減少。例如，使用卡巴斯基實驗室移動安全解決方案的用戶中，大約30％的用戶已經了使用Android 6或更高版本;

2.該技術只適用於有限數量的移動瀏覽器;

3.用戶可以很容易地發現他們正被重定向到網路釣魚站點，並且他們還可以注意到網頁的URL已經改變。

使用root許可權啟動攻擊

如果木馬獲得了用戶的各種許可權，那就可以執行任何攻擊，包括的惡意注入到瀏覽器。雖然卡巴斯基實驗室目前還無法找到這樣一個案例，但已經有一些木馬開始嘗試這樣做了：

1. Backdoor.AndroidOS.Triada，Backdoor.AndroidOS.Triada的一些模塊可以替換瀏覽器中的某些功能，獲取用戶許可權。Triada被下載後，Triada的一些模塊會從磁碟中移除，僅保存在內存中，這極大地增加了檢測和刪除它的困難度。為了在用戶設備和其他應用中隱藏各個運行過程，該木馬策略性地替代了安卓的返回運行資源列表的功能，安裝/運行安裝包的安裝。專家強調說，這一方案中的惡意模塊可被用於執行root許可權盜用。

2.Trojan-Banker.AndroidOS.Tordow.a，該惡意軟體家族已經開始在四處製造受害者了。他們會感染智能手機，並深度隱藏在設備中，最後竊取用戶敏感信息，然後上傳至惡意軟體開發者伺服器上。這一惡意軟體家族是在2016年的2月首次出現，當時感染用戶的方式主要是通過安卓第三方應用市場。此木馬能夠偷取聯繫人信息，打電話，發送，偷取並刪除簡訊。還能下載並在設備上運行文件、安裝或卸載應用、屏蔽對於一些特別網頁的訪問、重命名設備上的文件、將文件上傳到某一在線伺服器以及重啟手機。

總結

Triada和Tordow的例子表明，隨著網路攻擊者掌握的專業知識越來越多，類似的高複雜性攻擊在未來肯定會常態，但是這些木馬的創新也是要耗費大量人力和資金的，所以使用一般的釣魚窗口這樣簡單而經濟的方式會是網路攻擊者常用的詐騙選擇。我們可以說，就目前的技術能力，針對移動銀行的惡意網路注入仍是一個相當昂貴的網路攻擊。

建議

雖然我們無法及時掌握最新的黑客攻擊技術並作出及時的防護，但這並不意味著我們束手就擒，從以上的分析中，我們可以看出，隨著Android版本的提高，未來的攻擊會需要大家給予木馬們更多的許可權，所以大家在安裝或升級任何軟體時一定要看看是不是需要允許那麼的許可權，一句話，看好自己的許可權，以不變應萬變，其次下載應用時，一定要在正規的應用商店下載。