2016年手機惡意軟體演變分析報告(一)
2016年的幾個數字
在2016年,卡巴斯基實驗室檢測到以下內容:
8,526,221個惡意安裝包
128,886個手機銀行木馬261,214個移動勒索軟體木馬
2016年的演變趨勢
使用超級用戶許可權的惡意程序的流行度有所增長,主要是廣告木馬。
惡意軟體通過Google Play和廣告服務進行分發。出現了繞過Android保護機制的新方法。手機勒索軟體的數量有所增長。網路犯罪分子活躍於開發手機銀行木馬。
使用超級用戶許可權的惡意程序
今年最普遍的趨勢是木馬獲得超級用戶許可權。他們通常利用在較新版本的Android中已修補的各種漏洞來獲得這些特權。不幸的是,大多數用戶的設備並不會收到最新的系統更新,從而使這些用戶容易受到攻擊。
root許可權為這些木馬提供了幾乎無限的可能性,允許他們秘密的安裝其他廣告應用程序,以及在受感染的設備上顯示廣告,常常使得用戶無法正常使用智能手機。除了積極的投放惡意廣告和安裝第三方軟體,這些木馬甚至可以在Google Play上自行購買應用程序。
這些惡意軟體同時會將其模塊安裝在系統目錄中,這使得受感染設備的處理變得非常困難。一些廣告木馬甚至能夠感染系統恢復鏡像文件,即使用戶通過恢復到出廠設置也不能徹底解決問題。
除了在用戶不知情的情況下安裝廣告應用程序外,這些木馬也會在用戶的手機中安裝惡意軟體。我們記錄過模塊化木馬——Backdoor.AndroidOS.Triada的安裝過程,發現該木馬會修改Zygote進程。通過這種篡改,該木馬就可以一直保留在系統中,並更改其他應用程序發送的簡訊內容,從而可以竊取受感染設備的用戶的錢財。使用超級用戶許可權,木馬可以做任何事情,包括替換瀏覽器中的URL。
我們已經在官方的Google Play應用商店中多次發現了這類惡意軟體,例如,偽裝成Pokemon GO遊戲指南。這個「特殊的」應用程序下載次數超過50萬次,被殺毒引擎檢測為Trojan.AndroidOS.Ztorg.ad。
Trojan.AndroidOS.Ztorg.ad偽裝成Pokemon GO遊戲指南
網路犯罪分子繼續在Google Play上傳播惡意軟體
在2016年的10月和11月份,我們在Google Play上檢測到了約50個由http://Trojan.AndroidOS.Ztorg.am木馬新感染的應用程序,新的變種為Trojan.AndroidOS.Ztorg.ad。 據安裝統計,其中多個受感染的應用程序安裝次數超過10萬次。
Trojan.AndroidOS.Ztorg.ad 偽裝成視頻播放器
Google Play已經成為被網路犯罪分子用於傳播能竊取登錄憑據木馬的地方。其中一個是Trojan-Spy.AndroidOS.Instealy.a,該木馬會竊取Instagram帳戶的用戶名和密碼。另一個是Trojan-PSW.AndroidOS.MyVk.a:該木馬反覆多次的發布在Google Play上其目標是竊取社交網站VKontakte的用戶的數據。
另一個例子是Trojan-Ransom.AndroidOS.Pletor.d,該木馬由網路犯罪分子以「清理操作系統垃圾」的應用程序作為幌子進行傳播分發。通常,Trojan-Ransom.AndroidOS.Pletor系列的木馬會加密受害者設備上的文件,也會阻止或修改小工具的正常運行,之後,該木馬會要求受害者交出贖金來解除阻止。
Trojan-Ransom.AndroidOS.Pletor.d模仿系統垃圾清理APP
繞過Android的保護機制
網路犯罪分子正在不斷尋找途徑以繞過Android新發布的保護機制。例如,在2016年初,我們就發現Tiny SMS木馬會修改系統的消息中心,能夠使用自己的窗口來覆蓋系統消息,這些消息會警告用戶簡訊將發送到一些會產生費用的號碼中去。由於受害者無法看到原始的消息文本,所以他們不知道他們「已經同意」,並將簡訊發送到攻擊者指定的號碼中。
Trojan-Banker.AndroidOS.Asacub木馬也會使用類似的方法獲取設備的管理員許可權。木馬隱藏了來自用戶的系統請求,欺騙用戶授予它額外的許可權。此外,Asacub木馬會請求作為默認簡訊應用程序的許可權,即使在較新版本的Android中也可以竊取用戶的郵件。
Trojan-Banker.AndroidOS.Gugi木馬的作者則更勝一籌,這個惡意程序能夠繞過兩個新的Android 6安全機制,而這些繞過的手法僅僅是使用了社會工程學欺騙技術。沒有利用系統的漏洞,Gugi繞過了Android系統的許可權請求,它可以在其他應用程序之上顯示它自己的窗口並且可以動態的進行許可權請求以便執行潛在的危險行為。
移動勒索軟體
雖然第一個手機加密木馬的確會加密設備上的用戶數據,並向受害者索要錢財之後解密文件,但是現在的勒索軟體只會在其他窗口(包括系統窗口)的頂部顯示自己的窗口並索要贖金,頂部窗口遮擋會使用戶無法正常使用該移動設備。
在2016年最流行的手機勒索程序也使用了同樣的手法——Trojan-Ransom.AndroidOS.Fusob。有趣的是,這種木馬只攻擊德國,美國和英國的用戶,它會自動避免攻擊來自CIS和一些鄰國的用戶(一旦執行,它會檢查當前運行設備的語言,之後它有可能會停止工作)。木馬背後的網路犯罪分子通常要求交出100到200美元的贖金來解鎖設備。贖金必須使用預付費的iTunes卡的代碼來進行支付。
另一種阻止設備正常使用的方法是在中國比較流行的Trojan-Ransom.AndroidOS.Congur木馬家族。這些木馬會更改小工具的PIN代碼,或者通過設置自己的PIN代碼來啟用安全功能。為此,勒索程序必須獲得管理員許可權。在感染後,該木馬會會告知受害者通過QQ聯繫攻擊者以解除設備。
手機銀行木馬一年來不斷發展。其中有許多木馬獲得了繞過Android系統新的安全機制的工具,並能夠繼續從最新版本的操作系統中竊取用戶信息。此外,手機銀行木馬的開發者在木馬中添加了越來越多的新功能。例如,Marcher木馬家族會周期性的在幾個月內將用戶從金融網站重定向到網路釣魚網站。
此外,許多手機銀行木馬也有了勒索錢財的功能:在從伺服器接收到命令後,他們可以利用彈出索要贖金的窗口來阻止設備正常操作。我們發現Trojan-Banker.AndroidOS.Faketoken木馬不僅可以覆蓋系統介面,還可以加密用戶數據。
另外,還值得注意的是,傳播Android惡意程序背後的網路犯罪分子也沒有忘記2016年最熱門的話題之一 —— loT設備。特別是,我們發現了「攻擊路由器」的木馬,其目標是連接到受感染設備的Wi-Fi網路。如果木馬設法猜到了路由器的密碼,它會更改DNS設置,並實施DNS劫持攻擊。
暗網一瞥:國際刑警組織全球創新複合體的貢獻
暗網為網路犯罪分子提供了交流和從事商業交易的手段,例如購買和銷售各種產品和服務,包括手機惡意軟體包。越來越多的供應商和買家在Tor加密市場上進行交易,該加密市場實施了多種安全和面向商業的機制,例如使用加密貨幣,第三方管理服務(託管),多重簽名交易,加密,信譽跟蹤或反饋跟蹤等。
國際刑警組織已經調查了一些主要的暗網平台,發現移動惡意軟體會作為軟體包(例如遠程訪問木馬——RAT)提供銷售;另外還有一些惡意軟體編寫的「專業戶」以及一些專業公司開發的複雜的工具或者是一些小規模上的作為「機器即服務」模型的惡意軟體。移動惡意軟體也是供應商商店,論壇和社交媒體上的「主題」。
市場
在暗網市場上提供了一些移動惡意軟體產品和銷售服務。移動惡意軟體通常作為一個安裝包的一部分進行廣告售賣,包括例如遠控木馬(RAT),網路釣魚頁面或者是由取證分析和密碼破解工具組成的「黑客」工具包。個人或單件的工具也提供售賣。例如,在四個主要的市場上的
不同的供應商都會提供DroidJack的售賣。這個流行的Android 遠控木馬在Clearnet上公開出售但是價格比較高,不過在暗網上價格要低一些。
這兩種變體(安裝包和單件工具)有時會帶有「怎麼用」的指南手冊,解釋了攻擊流行操作系統(如Android和iOS)的方法。在暗網上也會公布一些更先進的工具,例如Galileo,由義大利IT公司Hacking Team開發的遠程控制系統,用於遠程訪問,可以運行在Android,iOS,BlackBerry,Windows或OS X的設備上。
另一個案例是Acecard的源代碼。目前已知該惡意軟體會在手機銀行應用程序上添加覆蓋屏幕窗口,然後將用戶的登錄憑據轉發到遠程攻擊者那裡。它還可以訪問簡訊內容,攻擊者可以從簡訊中獲得一些有用的簡訊認證碼。
Android bot租賃服務(BaaS或Bot as a Service)也可以通過購買得到。這些機器人可用於從受害者的Android手機中收集財務信息,這些服務也會提供許多功能和幫助文檔,支持俄語和英語。可根據自己的要求定製開發更多的功能。此類服務的費用最高可達每月2,500美刀,或每周650美刀。
用於獲取手機上的財務信息的網路釣魚惡意軟體產品,可通過藍牙控制手機或更改其IMEI(國際移動設備識別碼),另外,多個Android RAT均會專註於攔截記錄簡訊,通話記錄和位置以及訪問設備的攝像頭,這些惡意軟體在暗網市場上隨處可見。
供應商商店,論壇和社交媒體
供應商的商店是由單個或一組供應商創建的獨立平台,他們在市場上建立了一定的客戶基礎,然後決定開始自己的業務交易。一般來說,這些商店沒有論壇,只是會宣傳某種特定類型的非法物品,如毒品或被盜的個人信息,但他們也會售賣手機惡意軟體(DroidJack)。用戶在購買到的手機惡意軟體產品中有時會附加使用教程,並且關於哪些工具適合什麼用途以及如何安裝和利用它們等這些信息也可以在論壇和社交媒體上找到。
此外,我們還發現了一個關注於黑客新聞的Tor隱藏服務,其包含了有關如何設置Dendroid手機惡意軟體的一些信息。這種RAT能夠攔截簡訊,下載圖片或打開對話框進行密碼釣魚,從2014年起到2016年,這類惡意軟體一直作為一些廣告的一部分在不同的市場上進行投放。
由於其強大的匿名性,OPSEC技術,低價格和面向客戶的策略,暗網仍然是一個進行非法交易和活動且極具吸引力的媒平台,並且在將來很有可能會出現一些特殊的犯罪領域。創新技術解決方案的發展(與學術界,研究機構和私營企業密切合作),國際合作和能力建設是打擊網路犯罪分子使用暗網的根本支柱。
本文為 嘶吼編輯 編譯,如若轉載,請註明來源於嘶吼: 2016年手機惡意軟體演變分析報告(一) 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※讓ATM機自動吐錢的惡意軟體 你想要嗎?
※新惡意軟體GhostAdmin出現 專註於數據竊取
※注意你的郵件附件。
※Form-Grabber惡意軟體的詳細分析