hacking team資料洩露事故表明,僞裝android應用可通過使用動态加載技術繞過google play store中的過濾功能。這種攻擊的工作原理是什麼,使用者和企業可如何檢測這些惡意應用?
michael cobb:備受争議的it安全公司hacking
team淪為網絡攻擊的受害者,攻擊者宣布他們正在通過hacking
team自己的twitter賬号将其客戶檔案、合同、财務資料和内部郵件提供公衆下載下傳。(該公司專門向政府、執法機構和企業銷售“攻擊性”入侵和監控工具及服務,這400gb洩露資料向我們揭露了政府和企業監控及間諜活動的精彩世界。)
在這些洩露的檔案中還包含檔案解釋如何使用hacking team的軟體,以及某些應用的源代碼。安全軟體公司trend
micro研究人員在這些資料中發現了惡意android應用樣本,該應用僞裝成新聞app,并使用benews作為名稱(這是現已解散的新聞網站的名稱),這個app看似合法,并且,該應用不包含漏洞利用代碼,在安裝時隻要求三個權限。這種無害的僞裝讓它可通過google
play的審批過程。然而,在安裝該應用後,它會使用動态加載技術執行額外的代碼。
動态加載讓應用隻加載需要的元件,在某些相關元件不總是需要時,這種被用來減小可執行檔案的大小以及提高性能。在這個假android應用的情況下,這種技術被用來延遲惡意代碼的加載,直至app通過稽核以及被安裝。它安裝hacking
team的rcsandroid監控程式,這被安全專家認為是最複雜的android惡意軟體。它可捕捉螢幕截圖、監控剪貼闆中的内容、收集密碼、聯系人和資訊,并可使用手機的麥克風錄音。該app利用了特權更新漏洞—cve-2014-3153,這是android
2.2到4.4.4中存在的漏洞,用以繞過裝置安全以及允許遠端攻擊者通路。
在從google play移除之前,這個假的benews應用被下載下傳多達50次,現在這個應用以及hacking
team的其他軟體的源代碼已經公開,網絡罪犯肯定會利用它來添加新的或改進的功能到他們自己的攻擊工具。不過,從好的方面來看,洩露的資料包含大量資訊可供安全研究人員用于調查從未被披露或修複的其他漏洞。hacking
team也建議可使用沙箱技術來阻止攻擊者利用漏洞攻擊裝置。希望這将鼓勵供應商開發更好的工具以及更多地利用這種緩解技術。
企業應該通過安全消息推送随時了解這個快速變化的移動安全環境,并確定聯網的移動裝置保持更新和修複。現在有很多移動保護套件可提供額外的保護以防止惡意應用繞過app
store和os安全措施,這包括trend micro的mobile security for android、eset mobile
security for android以及mcafee mobile security,這些都是企業版本。
作者:michael cobb
來源:51cto