把手机变“肉鸡”—移动应用攻击的新特点与防护

近年来，随着移动互联产业的兴起，移动应用软件(App)逐渐渗透到社会生活的各个领域，App种类和数量呈爆发式增长。第三方软件开发包(SDK)、移动应用接口(API)、人脸识别等生物技术广泛集成、应用于移动应用软件中，为日益丰富的企业化App功能、服务提供了更多技术解决方案。

然而，随着更复杂、更新颖的恶意软件攻击方法出现，移动业务应用的网络威胁也正在迅速演变，移动应用安全事件频繁发生。调查数据显示，2021年全球有接近四分之一的企业组织遭受过移动端的黑客攻击和数据泄漏，为企业造成了数十亿美元的业务收入损失、修复成本和品牌声誉损害等。

一、移动应用攻击的新特点

研究机构发现，移动应用攻击正在不断升级演变，对传统企业安全带来新的挑战。以下是企业需要充分了解的移动应用攻击新特点：

1、设备端欺诈

移动应用攻击领域最令人不安的新动向之一，是恶意软件能够直接控制受害者的终端设备来实施欺诈行为。这种攻击方法被称为设备端欺诈(ODF)，它标志着移动应用程序攻击方式的一个重大转变。此前，移动应用程序攻击主要针对凭证窃取及其他类型的数据泄露，ODF出现以后，可以使攻击者通过恶意软件直接控制受害者的设备实施欺诈行为。

目前，安全人员已经发现这种高级攻击手法出现在移动银行木马中，比如：Octo、TeaBot、Vultur和Escobar。以Octo为例，恶意软件利用安卓的MediaProjection服务(用于启用屏幕共享)和Accessibility Service(用于在设备上远程执行操作)，可以在用户无感知的情况下操作手机设备实施非法活动。

虽然大多数ODF木马针对金融业务实施数据窃取，但这些模块稍加改动，就可以针对企业其他类型的账户和通讯工具，比如Slack、Teams和Google Docs展开攻击。

2、电话呼叫重定向

另一个颇具危害的攻击方法是电话呼叫重定向。研究人员在Fakecalls银行木马中，发现了拦截合法电话呼叫的攻击手段，在这种攻击中，攻击者在应用程序安装期间获得呼叫处理权限，通过恶意软件使呼叫者在不知情的情况下，断开用户发起的呼叫连接，并将呼叫重定向至攻击者控制的另一个号码。由于呼叫屏幕继续显示合法电话号码，因此受害者无法知道通话已被转移到非法的呼叫对象，因此也不太可能采取相应的安全措施，因此会给受害者造成较大的财产损失。

3、 窃取通知直接回复功能

今年2月，FluBot间谍软件(版本5.4)被曝出盗用安卓通知直接回复(Notification Direct Reply)功能的新手法，让恶意软件得以拦截并直接回复其目标应用程序中的推送通知。这项功能目前也出现在了其他移动端恶意软件中，包括Medusa和Sharkbot。这种攻击模式让恶意软件可以拦截双因素身份验证码来实施欺诈性金融交易，并在需要时篡改通知的内容。

此外，通知直接回复功能还可被用于通过向社交媒体应用(比如WhatsApp和Facebook Messenger)发送自动恶意响应，以类似蠕虫的方式将恶意软件传播给受害者的联系人，这种手法名为“推送消息网络钓鱼”。

4、 通过域生成算法规避检测

DGA(Domain Generation Algorithm，域名生成算法)是一种传统恶意软件经常使用的算法，可定期生成大量域名，让C&C服务器更加隐蔽，降低攻击发现几率，增强僵尸网络的鲁棒性。今年初，Check Point 公司的研究人员在谷歌官方应用商店中发现了多个用于传播 Android SharkBot 银行木马的恶意APP应用，也开始采用DGA算法来躲避现有的移动安全检测工具。

黑白名单机制是一种应对DGA非法域名创建的检测方式，但是如果带有DGA能力的移动应用攻击软件为其指挥和控制(C2)的服务器频繁创建大量新域名和IP地址，这将给安全团队检测和阻止恶意软件带来很大挑战，因为企业通常没有能力每天都更新、维护域名黑名单库。

5、绕过应用程序商店审查

应用程序商店的审查流程与恶意软件开发人员一直在玩猫捉老鼠的游戏，不过，最近网络犯罪的一些新手法似乎“更胜一筹”。比如，CryptoRom犯罪活动利用了苹果公司的TestFlight beta测试平台和Web Clips功能的缺陷，成功绕过应用程序商店的检测，将恶意软件分发到iPhone用户。不仅是苹果系统，一些网络犯罪分子也成功绕过Google应用商店的安全审查，通过收买合法应用程序的开发者，在其中植入恶意SDK模块来窃取用户的个人数据。

6、恶意软件功能模块化、流程化

虽然采用模块化方式设计恶意软件已较为常见，但现在发现的移动APP恶意程序开始有体系化的功能更新流程，比如近期发现的Xenomorph恶意软件通过结合模块化设计、可访问性引擎、基础架构优化和C2协议，已能够实现流程化的功能更新和版本迭代，使其危害性和攻击能力更快速地增长，包括自动传输系统(ATS)功能的实现。将来，更多的移动恶意软件家族会通过更完整的更新模式和流程，在受感染的移动设备上不断启用全新的攻击功能。

二、移动应用安全防护

移动应用攻击正在成为网络犯罪活动的主战场。大多数移动应用安全事件是由系统漏洞、不安全的编码实践，以及缺乏足够的安全测试能力造成的。为了应对这些新的移动应用攻击手法，企业需要确保其网络安全计划中包含了全面的防御手段，包括移动设备管理解决方案、多因素身份验证以及有效的员工访问控制等。

此外，企业安全团队需要在移动业务开发生命周期中加强对应用的测试，更快地发现漏洞，同时监控部署的所有移动应用，以降低发生重大移动应用安全事件的几率。企业可以通过动态移动应用安全测试、对移动开发人员的更好培训以及更加重视移动应用安全来避免发生这类事件。

同时，在数字经济蓬勃发展的大背景下，做好移动App应用安全防护不仅需要技术手段上的安全防护，还需要安全意识和管理运维水平的同步提升。由于移动恶意软件感染通常会大量利用社会工程学方法，以企业中的员工作为攻击突破口，因此企业应提供安全意识培训，并考虑针对这些攻击采用监控通信状态的技术。

参考链接：

​​https://www.darkreading.com/application-security/6-scary-tactics-used-in-mobile-app-attacks。​​