Android平台的恶意攻击、检测与防护

Android平台恶意攻击事件

2017年7月，安全公司Palo Alto Networks报告了一款在中国流行的针对中国用户的新型Android恶意木马SpyDealer。该恶意程序通过被入侵的无线网络进行传播。一旦感染，能够从微信、QQ、微博等40余款流行应用程序中窃取用户敏感信息，给用户造成严重的隐私损失。除了SpyDealer，过去的一年以来爆发了大量基于Android平台的恶意攻击事件。

[[196929]]

HummingBad恶意软件

[[196930]]

2016年7月，一份来自安全公司Checkpoint的报告指出，新发现的一个名为HummingBad的恶意软件感染了全世界多达1000万台Android设备。HummingBad由一些恶意组件组合而成，其中许多组件都是具有相同功能的恶意代码的不同变种。当被感染的应用程序安装在Android设备后，这些恶意组件会动态地下载到设备上，并在安装成功后在设备上弹出带有 “关闭” 按钮的广告横幅。实际上，点击该按钮并不能关闭广告。报告指出HummingBad恶意软件为攻击者带来了每月高达300000美元的收入。

Gooligan恶意软件

2016年12月，安全公司Checkpoint爆料一款名为Gooligan的新型恶意软件已经入侵了超过100万Google账户，并且在以每日感染13000个设备的速度蔓延，这是有史以来最严重的Google账户被黑事件。Gooligan通过感染合法的应用程序，诱惑用户下载，一旦安装植入到Android设备上，就会窃取用户敏感信息，包括：Google账户和身份验证token信息等，并回传到攻击者的服务器。除此之外，Gooligan会从服务器傻瓜下载rootkit，利用Android系统漏洞(如：VROOT和Towelroot)获取设备的root权限，从而彻底控制设备。

ViperRAT恶意软件

据Lookout和卡巴斯基等安全公司报告，一款名为ViperRAT的恶意软件正在入侵以色列军队士兵的Android手机，从而监控其活动并窃取有关数据，包括照片、录音资料、短信息、通信录及设备位置等隐私数据。截至2017年2月，超过100名使用三星、HTC、LG和华为等品牌的以色列军人的Android手机都遭到攻击，并有近9000份文件被盗。

Judy恶意软件

[[196931]]

2017年5月，安全公司Checkpoint披露了十几款利用恶意广告点击软件感染用户设备的Android恶意应用，其中甚至有恶意应用已经在Google Play应用商店上线一年以上。Checkpoint指出这些恶意应用可能已经感染了3650万用户的手机，有望成为Google Play应用商店目前发现的传播最广泛的恶意应用。这些恶意应用主要包含在一系列名为Judy的休闲烹饪和时装游戏中，在安装后通过动态加载恶意程序，使用被感染的手机点击广告，从而为攻击者创造不正当的经济收入。

恶意攻击的发展与危害

下图是防病毒软件公司G Data做出的近五年Android平台恶意软件增长情况统计表。该公司指出，2017年第一季度Android手机端出现了超过75万个新型恶意应用，并预测到2017年底，Android手机端恶意应用总数将会增长到350万。报告进一步指出，Android恶意应用急速增长主要原因是第三方手机制造商广泛，导致Android操作系统碎片化更为严重。

近五年Android平台恶意软件增长情况

恶意应用利用通讯录、信息、网页浏览历史和银行证书等手段进行用户敏感信息窃取、设备资源消耗、非法收益获取和僵尸网络创建等违法操作，给用户带来了经济损失和隐私泄露等问题。从国家安全层面而言，通过给移动智能终端隐蔽植入恶意应用，可以获取敏感信息，再辅助以强大的后台同步分析，很容易获取涉及国家的经济、政治等敏感信息，甚至通过移动智能终端散布谣言、传播危险信息，这使得国家对敏感信息资源生产、传播和监管的能力面临严峻挑战。

当前主流的检测与防护措施

目前，国内外学术界和产业界对Android系统的安全机制，恶意应用攻击技术、恶意应用检测技术及恶意应用防护技术展开了深入的研究，产生了大量的学术成果和商业产品，在一定程度上缓解了恶意应用的传播。

检测技术

Android平台的恶意应用检测技术主要分为静态检测技术和动态检测技术。静态检测通过分析应用源代码和二进制文件。因为不需要执行应用，所以不易被恶意软件察觉，在分析过程中，恶意软件不会隐藏其恶意行为，具有代码覆盖率高的优点。当前大部分的病毒扫描类安全软件采用的是基于特征码的检测技术。当某种病毒出现时，安全人员从该程序中截取一段独一无二且足以代表该程序的代码，以此作为判别该病毒的依据。特征码一般包括MD5、校验码和字符串三种格式。虽然基于特征码的检测技术能够准确地检测已知的恶意软件，并使用较少的计算资源，但不能检测未知的恶意软件或恶意软件的变体。签名提取的过程需要人工参与，效率不高，同时很难保持签名的有效性，不断地更新签名会消耗移动设备有限的存储资源。

当恶意软件采取代码混淆或加密等技术时，静态检测技术往往无能为力。这时候就需要真实执行应用程序，获取其输出或内部状态等信息进行分析。动态检测通常是在真实或虚拟的测试环境(即沙箱)当中进行，借助各种条件对恶意应用样本进行激活，通过对运行过程中样本产生的所有行为模式监控，观察其执行流程及数据变化，从而判断其安全性。

防护技术

基于主机的入侵防御系统在后台运行，并在应用运行的过程中实现动态监控。一旦发现可疑行为，将会弹窗提醒用户。然而，该类HIPS往往基于对敏感API调用的监控，大量的安全应用程序也会调用该类API。这就导致了一定的误报率。同时，频繁的弹窗提醒会影响用户的操作体验。

趋势

将大数据技术应用到Android平台恶意应用的检测和防护中是当前的发展趋势。一方面，通过对全网所有Android应用进行爬取、分析、统计和不断更新，实时准确地反映全网Android应用安全态势，从而构建Android平台应用安全监测和管理的大数据平台。另一方面，针对Android恶意应用检测，可以通过采集海量的Android应用(包括来自恶意应用库的恶意应用，以及来自官方电子市场的安全应用)，提取其静态特征与动态特征，构建基于大数据技术的机器学习模型，从而实现对Android恶意应用的判别。

【本文为专栏作者“中国保密协会科学技术分会”原创稿件，转载请联系原作者】

戳这里，看该作者更多好文