关注移动安全 六大移动恶意软件分析

随着移动到联网的快速发展,在移动设备上已经开始出现恶意软件,只是还没有发展到严重的地步,但这并不意味着移动漏洞无法被利用,目前,安全研究人员已经发现了真实的移动恶意软件的存在。

以下是在过去一年中发现的最令人信服的证据,这些证据表明移动恶意软件已经从理论走向现实:

1. Zitmo

最成功的网上银行木马之一Zeus通过Zitmo(Zeus-in-the-middle)间谍应用程序从电脑跳跃到移动设备上。Zitmo在 Android设备上很流行,它伪装成网上银行激活应用程序,并且窃听短信消息以搜索银行通过文本向其用户发送的移动交易验证号码,作为第二种形式的身份验证。Zitmo最初在2010年被发现,研究人员去年夏天在现实世界发现了Zitmo的存在。

2. 移动僵尸网络

2009年以来,Perimeter E-Security研究所分析师Grace Zeng一直在探索完全由移动设备组成的僵尸网络的可能性。反对者告诉她这是不可行的,但是在上个月,她在WiSec 2012大会上演示了移动设备组成僵尸网络的可能性。Zeng展示了其概念证明型设计,演示了移动设备将如何通过游戏或者系统应用程序中隐藏的代码被感染,以及命令和控制(C&C)通信如何通过短信传递而看起来像是垃圾邮件。

然而,黑客可能已经早她一步,NQ Mobile的研究人员上个月表示他们发现了一个利用根权限的Android bootkit,这是现实世界移动僵尸网络的第一个威胁之一。

3. CrowdStrike RAT攻击

来自网络安全初创公司CrowdStrike的George Kurtz和Dmitri Alperovitch在二月份举行的RSA大会上让观众惊呆了,他们展示了该公司的研究团队逆向工程一个远程访问工具(RAT)来窥探用户的电话、物理位置、应用程序和数据。这种“端到端”的移动攻击是通过一条通知用户需要更新服务的短信息来发起的,短信中包含恶意网络链接。这种攻击演示了攻击者可以如何通过被感染的移动设备来完全窥探用户。

4. Instastock

很多研究人员指出,不断增长的移动恶意软件问题实际上是一个Android恶意软件问题。目前来看,在很大程度上的确是这样,但是去年11月出现的Accuvant的Charlie Miller等漏洞利用证明了攻击者可以找到办法进入苹果的围墙花园。

Miller的Instastock应用程序就是漏洞利用的例子,他利用了“苹果公司处理代码签名中存在的漏洞”来加载一个股票行情应用程序到App Store,然后呼叫回攻击者的服务器。苹果公司虽然已经修复了这个漏洞,但Instastock证明了iOS并不是固若金汤。

5. JiFake

移动营销人员非常喜欢使用易于扫描的QR码,只需要通过用户手机的条形码扫描器就将移动用户带到他们的网站和应用程序。攻击者也很喜欢这些代码,研究人员发现攻击者越来越多地使用假冒QR码诱使用户下载恶意软件,有很多现实世界的例子可以说明这个问题。

例如Jifake就是通过QR码传播的恶意软件。随着越来越多QR码木马的出现,最终可能演变为,在用户不知情的情况下,让手机发送短消息到一个特别号码。

6. Android.Notcompatible

本周,赛门铁克警告用户出现了一种新的网站注入攻击,诱使访问受感染网站的用户安装冒充安全软件的恶意软件。与路过式下载攻击一样,Android.Notcompatible弹出一个网址重定向注入到受感染网页的HTML本身。

但是仍然需要用户允许安装和接受使用条款,所以它伪装成一个安全软件。赛门铁克表示,该恶意软件从受感染设备将流量路由到一个外部源,这允许攻击者窃取敏感信息、执行点击劫持攻击等。