傷痕纍纍：總結Android手機攻擊技巧

谷歌官方商店中的惡意軟體從未停止出現過。對於網路犯罪分子來說，將他們的惡意app潛入真正的應用程序市場是一個巨大的勝利。

儘管分析師們發現了分析惡意軟體的新方法，而且用戶也已經開始了解這些情況，但網路犯罪分子正在尋求在手機中隱藏以及攻陷設備的新方法。

而用來增加攻擊效果的絕佳技巧可以分為兩大類：第一，迷惑用戶的社會工程；第二，阻礙惡意軟體檢測和分析的複雜技術機制。

本文總結了過去幾年中惡意Android代碼的一些常見行為。

一、基於社會工程的欺騙

使用Play商店中的欺詐帳戶傳播惡意軟體

谷歌官方商店中的惡意軟體從未停止出現過。對於網路犯罪分子來說，將他們的惡意app潛入真正應用程序的市場是一個巨大的勝利，因為他們可以接觸到更多潛在的受害者，因此感染力幾乎堅如磐石。

更重要的是，用於傳播不安全或惡意應用的虛假開發者帳戶與真實帳戶很相似，用來欺騙不知情的用戶，最終讓他們感到困惑。最近的一個例子中，研究人員發現了一款假冒的使用Unicode字元技巧的應用程序WhatsApp，以給出通過官方帳戶分發的假象。

利用紀念日和預定的應用發布日

網路犯罪世界中的一種常見做法是使惡意軟體看起來像大多數突然流行起來的遊戲app版本。這些程序要麼預定發布，要麼在某些國家的官方商店中不可用。這種情況在PokémonGO、Prisma和Dubsmash上都發生過，全球共增加了數十萬例傳染。

劫持和覆蓋窗口

Tapjacking是一種通過顯示兩個疊加的應用程序來捕獲用戶屏幕鍵入的技術。因此，受害者相信他們正在輕敲他們看到的應用程序，但他們實際上正在輕敲隱藏在視圖中的底層應用程序。

另一種類似的策略是覆蓋窗口，它被廣泛用於間諜軟體中，竊取Android中的憑證。在這個過程中，惡意軟體不斷跟蹤用戶正在使用的應用程序，當它與某個目標應用程序一致時，它會顯示自己的對話框，該對話框看起來就像合法應用程序，向用戶請求憑據。

偽裝系統應用

到目前為止，惡意代碼隱藏在設備上的最簡單方法是將其作為系統應用程序自動關閉，並儘可能不被注意。如安裝完成後刪除應用程序圖標，使用系統應用程序以及其他受歡迎應用程序的名稱、安裝包和圖標攻陷設備這些策略，會出現在代碼中，就像銀行木馬一樣將代碼自動轉換為Adobe Flash Player以竊取憑據。

模擬系統和安全應用程序來請求管理員許可權

由於Android結構限制了應用程序許可權，因此很多惡意代碼需要請求管理員許可權才能正確實現其功能。授予此許可權會使卸載惡意軟體變得更加困難。

所以偽裝成安全工具或系統更新的方法成為了網路犯罪分子的應對之策。因為，它可以讓網路犯罪分子在受信任的開發人員背後隱藏自己，因此用戶可以毫不猶豫地授權應用程序訪問管理函數。

模擬真實數據的安全證書

用於簽署APK的安全證書也可用於確定應用是否已被更改。儘管大多數網路犯罪分子在頒發證書時使用通用文本字元串，但許多人卻冒著與開發人員使用相對應數據的麻煩，更努力地迷惑執行檢查的用戶。

二、使分析複雜化的技巧

多個功能集成在同一代碼中

近年來，移動領域一直有一個發展趨勢就是將過去不同類型的惡意軟體組合成一個可執行文件。LokiBot就是這樣一個例子，它是一種銀行木馬，可以隱蔽竊取設備中的信息;但是，如果用戶嘗試移除管理員許可權來卸載，它就會通過加密設備的文件來激活其勒索功能。

隱形app

使用釋放器和下載器，即將惡意代碼嵌入另一個APK或從互聯網下載惡意代碼，這種策略不僅限於筆記本電腦和計算機的惡意軟體，也是惡意移動代碼編寫者普遍使用的策略。

由於之前的Google Bouncer（現在更名為Google Play Protect）使網路犯罪分子能夠將惡意軟體上傳到官方商店，因此攻擊者選擇將此類行為包括在內，試圖繞過控制措施......而且它很有效（至少在一段時間內）！

從那時起，這兩種形式的惡意軟體代碼已被添加到最常用的惡意技術組合中。

多種編程語言和不穩定的代碼

新的多平台開發框架和新的編程語言不斷出現。給誤導惡意軟體分析師帶來了便利，比如使用Xamarin設計應用程序或使用Lua代碼執行惡意命令。該策略改變了可執行文件的最終體系結構，並增加了複雜程度。

一些攻擊者使用動態腳本載入或從遠程伺服器下載，並在使用後自刪除的代碼添加到此組合中。因此，一旦伺服器被網路犯罪分子移除，就不可能準確知道代碼在設備上所執行的操作。

具有這些特徵的樣本開始出現在2014年底，當時研究人員發布了這個特別複雜的惡意軟體分析報告。

協同作戰的惡意軟體

將樣本分析複雜化的另一種方法是將惡意功能劃分為能夠彼此交互的一組應用程序。這樣，每個應用程序都是具有許可權和惡意功能的子集，然後他們互相交互以實現更多目的。而且，分析師若想了解惡意軟體的真正功能，他們必須能夠訪問所有單獨的應用程序，就像拼圖一樣。

儘管這不是一個常用的策略，但已經有樣本表現出此類行為，正如Virus Bulletin最近發表的一篇文章。

隱蔽通道和新的通信機制

要與C＆C伺服器或其他惡意應用進行通信，惡意軟體需要傳輸信息。這可以通過傳統的開放通道或隱藏通道（個性化通信協議、亮度調節、喚醒鎖、CPU利用率、內存空間、聲音或振動級別以及加速計等）完成。

此外，近幾個月來，我們看到網路犯罪分子利用社交網路傳輸C＆C消息，例如Twitoor，它是使用Twitter帳戶發送命令的殭屍網路。

其它反分析技術

加殼、反模擬、反調試、加密和混淆等其他規避技術的使用在Android惡意軟體中非常普遍。為了解決諸如此類的保護問題，可以hook函數（通過Frida等應用程序）。

也可以使用默認避開這些控制項的分析環境，例如MobSF——包含一些反模擬技術，Inspeckage——在加密前後可以看到文本字元串以及使用的密鑰,或者AppMon也行。

為防止感染，記得查看這些惡意行為，並了解如何檢查手機是否已遭到入侵。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！