Android系統中也存在Web注入嗎？

有一類專門針對瀏覽器的攻擊，被稱為瀏覽器中間人（MITB）攻擊。想要實現這類攻擊，方式也非常的多，像惡意 DDL 注入，擴展欺騙或將一些特製的惡意代碼注入到瀏覽器頁面中，欺騙代理伺服器等。MITB攻擊的目的，相比那些較常見的中間人攻擊也有所不同。一般的中間人攻擊，例如鏈路劫持投放一些商業性廣告，或竊取某些用戶量較大網站，用戶賬戶里的虛擬財產為攻擊目的。相關報道，可參見

Lurk case

（點擊閱讀原文查看）

。

當MITB類攻擊的目標為網上銀行時，通常會使用 web 注入攻擊。這種攻擊，會將一段惡意代碼注入到網上銀行服務頁面中，以此來攔截一次性SMS消息，收集用戶信息，欺騙銀行詳情等。例如，我們巴西的同事發布了一篇，關於用戶列印 Boletos 的，條形碼欺騙攻擊的

長篇報告（點擊閱讀原文查看）

。這篇報告同時也成為了非常受歡迎的銀行文檔，並被巴西銀行和各類企業發行。

與此同時，MITB攻擊在俄羅斯近年來呈下降趨勢。攻擊者正試圖尋找一些其它的攻擊方法和載體，來攻擊銀行客戶端。對於他們而言，使用一些現成的工具，比自己開發web注入工具要容易的多。

儘管如此，我們還是經常被問到，是否有專門針對Android設備的web注入攻擊。這也是我們想要知道的，因此我們正對這方面的攻擊做深入的研究調查，並希望能給大家一個相對滿意的答覆。

Android 下的 Web 注入

儘管術語「注入」常被與移動銀行木馬聯繫起來（有時也被一些攻擊者，用作數據竊取的參考技術），Android 惡意軟體，是一個完全不同的世界。為了實現計算機上的Web注入工具的相同效果，移動木馬的創建者會使用兩種完全不同的技術：使用網路釣魚窗口覆蓋其它應用，以及將用戶從銀行頁面重定向到特製的網路釣魚頁面。

使用網路釣魚窗口覆蓋其它應用

這是攻擊者們最常用的技術之一，幾乎在所有的網銀木馬上都有涉及。早在2013年，我們就發現了第一個此類覆蓋應用的釣魚木馬程序——

Trojan-Banker.AndroidOS.Svpeng

（點擊閱讀原文查看）

。

如今的移動銀行木馬，常常將自己與Google Play應用商店疊加在一起。這樣做的目的就是為了竊取用戶的銀行卡信息。

除此之外，該類木馬還會經常覆蓋那些社交媒體和即時通訊應用，並以此來竊取用戶的賬號密碼。

然而，移動銀行木馬通常將目標對準的都是那些金融類的應用程序，主要是銀行的客戶端程序。

以下有三種可選的，針對移動操作系統的MITB攻擊方法：

1.

攻擊者通過製作一個定製的木馬窗口，來覆蓋其它應用程序的窗口。例如，

Acecard （點擊閱讀原文查看）

家族的移動銀行木馬就使用了這種方法。

2.

通過一個位於攻擊者伺服器上的網路釣魚頁面，覆蓋用戶應用程序。這樣攻擊者，便可以隨時修改其內容。例如， Marcher家族的銀行木馬就使用了這種方法。

3.

下載釣魚模板頁面，並通過修改圖標和名稱將其偽裝成目標應用程序，欺騙用戶。Trojan-Banker.AndroidOS.Faketoken 就利用了這種方式，攻擊了超過2000多款的金融類應用程序。

值得注意的是，從Android 6.0開始，FakeToken木馬想要覆蓋其它應用程序，則必須彈框請求用戶以獲取特權，然後才能實現覆蓋。隨著Android新版本的不斷普及，越來越多的移動銀行木馬開始請求這樣的特權。

從銀行頁面重定向到特製的網路釣魚頁面

我們僅能在 Trojan-Banker.AndroidOS.Marcher 家族中，識別到這種技術的使用。最早版本的此類重定向木馬，是在2016年4月之後被發現的，最新版本為2016年11月上半年出現。

下面讓我來簡單介紹下，頁面重定向釣魚技術它的工作方式。該類木馬首先會修改訂閱瀏覽器書籤，包括更改當前打開的頁面。這樣木馬就能獲取到當前打開頁面的信息，如果打開頁面恰好為其攻擊的目標之一，那麼它將會在同一瀏覽器中重新打開一個克隆的釣魚頁面，同時將用戶強制重定向到該頁面。

將用戶從銀行的網頁重定向到網上誘騙頁面的工作方式如下。木馬訂閱修改瀏覽器書籤，其中包括當前打開的頁面的更改。這樣木馬知道哪個網頁當前打開，如果它恰好是目標網頁之一，木馬會在同一瀏覽器中打開相應的網頁仿冒頁面，並將用戶重定向到那裡。我們已經發現了，有超過100多個屬於Marcher家族木馬的金融機構克隆頁面。

然而，有兩點需要說明：

這些被我們檢測及公布出來的方法技術，Marcher木馬已不再使用。

除此之外，它還會結合使用釣魚頁面窗口覆蓋其它應用的方式。

那麼，為什麼只有這類網銀木馬，採用重定向釣魚的方法，又為什麼這種技術在新版的網銀木馬上被摒棄呢？有以下幾個原因：

在Android 6.0及更高版本中，這種技術已不再有效，這意味著受害者的數量將大大減少。例如，在使用卡巴斯基實驗室移動安全解決方案的用戶中，大約有30％的用戶，目前使用的為Android 6.0或更高版本的操作系統；

該技術只適用於少數特定的移動瀏覽器。

隱蔽性差。用戶很容易就能發現自己被進行了重定向，並且通過地址欄URL也能被輕易識別出來。

使用root許可權啟動攻擊

當木馬程序獲取到了root許可權，那麼它就可以執行任何類型的攻擊，包括瀏覽器惡意注入攻擊。雖然我們無法找到該類情況的案例，但是以下幾點應該引起我們的注意：

Backdoor.AndroidOS.Triada

（點擊閱讀原文查看）

的一些模塊，利用超級用戶許可權，可以替換某些瀏覽器中的網站。我們發現的所有此類攻擊，都是為了從廣告商那賺錢，而不是竊取用戶的銀行信息。

擁有超級用戶許可權的

Trojan-Banker.AndroidOS.Tordow

（點擊閱讀原文查看）

網銀木馬，可以竊取用戶保存在瀏覽器中的賬號密碼，這其中也可能也包含金融網站的密碼。

總結

我們可以說，儘管那些針對銀行的攻擊者有技術能力，實現對移動瀏覽器或移動應用程序的惡意注入，但是他們一般不會這麼做。更多的時候他們是通過這種技術，來投放一些虛假廣告信息，並以此牟利。但即便這樣，攻擊者也需要定製高度複雜的惡意軟體才能實現。

那麼，為什麼攻擊者會放棄這種攻擊手段？最大的可能，是因為移動瀏覽器和應用程序的多樣性。這就要求攻擊者，不得不大量的修改代碼和增加代碼量。要知道，這是相當耗時耗力，並且需要大量的資金投入才能完成的。而簡單而又實用的窗口釣魚攻擊，則不需要這麼麻煩。

儘管如此，Triada和Tordow的例子表明，隨著攻擊者技術的不斷改進，類似的攻擊可能會在不久的將來，切實的發生在我們身邊。

*參考來源

securelist

，FB小編 secist 編譯，轉載請註明來自FreeBuf（FreeBuf.COM）

您的贊是小編持續努力的最大動力，動動手指贊一下吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: