Doctor Web公司的2013年安卓威胁综述
2014.02.24
2013年安卓威胁:总体统计数据
去年信息安全领域发生的事件再一次证实,安卓操作系统已成为不法分子在移动市场进行非法活动的主要平台。Doctor Web公司病毒数据库的添加动态就足以证明这一点:2013年新添恶意和不良安卓应用记录1 547条,病毒记录总数达2 814个。比2012年同期记录数增加了122%。如果与安卓系统恶意应用出现的2010年相比,则增加了9280%,也就是几乎增加了93倍。
2010-2013年Dr.Web病毒数据库安卓威胁数量增长动态.png)
可与之对比是是2013年年底针对其他常见移动平台,例如BlackBerry、Symbian OS、Java、iOS和Windows Mobile的病毒记录总数量为1600条,比安卓威胁同期数量少1.76倍。
2013年移动威胁病毒定义数量
新的安卓系统恶意软件和风险软件家族数量明显增加,与2012年相比增加了185%,总数达到331个.
安卓威胁家族总数
依据Dr.Web病毒数据库目前的记录,最常见的安卓威胁是:
Doctor Web公司病毒库记录中最常见的安卓威胁
短信木马仍为主要威胁
根据上面的统计信息,2013年,木马家族Android.SmsSend仍是所有恶意安卓应用中毋庸置疑的“领袖”。这些早在2010年就出现的软件的作用是秘密发送昂贵短信,或为用户订购会从账户扣取一定费用的付费服务。上一年恶意应用家族Android.SmsSend版本数量增长了2倍以上,达到1 377个变种。Dr.Web病毒库2010年至2013年相应记录总量表显示出短信木马数量增长的总动态:
恶意软件家族Android.SmsSend记录数量增长动态.png)
这些木马可以作为独立的软件包,徦扮为知名应用程序的更新包或安装包,或隐藏在被不法分子修改过的合法程序内。需要指出的是,第二种方法就出现在中国,而且目前仍是最常用的传播方式,2013年出现了整整一个系列的相似短信木马变种,主要针对是就是中国用户。同时,在过去的12个月,侦测到了针对越南安卓设备用户的类似的恶意应用。目前木马家族Android.SmsSend的这种传播方式不仅没有失去意义,反而在不法分子当中更加流行。值得注意的是,大部分类似情况下,被不法分子更改的是流行的游戏软件,而应用软件被修改的情况比较少见。
这些被修改的软件包运行后,用户会获得所需软件,但同时会获得恶意功能,如在用户不知情的情况下发送短信。很有可能,今后这种方法还不会失去其意义,而且随着短信木马的传播,受害用户的地理分布也会随之扩大。
 | |
 |
 |
去年发生的与木马Android.SmsSend相关的重大事件是9月份侦测到的由被这些恶意软件感染的安卓设备构成的移动僵尸网络,这是近来发现的最大的移动僵尸网。Doctor Web公司的技术人员估计这一僵尸网络已经有超过200 000部智能手机和平板电脑,而给用户带来的潜在损失可能高达数十万美元。不法分子使用多个短信木马感染移动设备,木马伪装成合法软件的安装包,例如网络浏览器和社交网站客户端。这一僵尸网的地理分布见下图:
Android.SmsBot——短信木马的进化规律
2013年安卓设备用户遭遇越来越多的新威胁,例如木马家族Android.SmsBot。这些恶意应用是之前广泛传播的Android.SmsSend家族链的进化产物:主要功能仍是通过未经授权发送付费短信使不法分子获得非法收入。然而与之前大部分版本将所有运行参数提前设置在配置文件或代码中不同,这些木马可以直接从不法分子处获得操作指令,这就极大的增加了其传播机会。特别是必要时可设定新的短信文本以及需要发送的目标号码。木马Android.SmsBot的许多版本能够根据指令完成其他操作,例如下载其他恶意软件、删除某些短信、收集移动设备相关信息并将其发送至远程服务器、拨打电话。此外,这些恶意应用的一些变种能够使用USSD或短信请求查询手机账户余额,并根据其结果从控制服务器获取指令,向收费号码发送短信。
值得一提的是,至2012年底,Dr.Web病毒库还只有一条恶意软件家族Android.SmsBot记录,而2013年其数量已增加至24个。这些木马传播数量的增长动态表明,不法分子正在使用更灵活、更有组织的方式进行非法活动,所以我们完全有理由预计这种类型的恶意软件新变种的数量还会增加。
木马家族Android.SmsBot病毒记录数
机密信息被窃威胁加剧:银行木马、个人信息窃取工具及间谍软件
2012年出现的用户安卓设备个人信息安全问题在去年进一步恶化:在过去的12个月里窃取安卓操作系统智能手机和平板电脑用户各种机密信息的恶意软件数量明显增加。类似威胁中排在首位的是大量新的银行木马,包括恶意软件家族Android.Tempur和Android.Banker,家族代表为Android.SmsSpy、Android.SmsForward、Android.Pincer和Android.Spy等等。大部分这类木马或通过模仿真正的移动银行客户端界面来欺骗用户提供个人信息,或以重要软件更新或证书的形式安装,使不法分子能够拦截所有接收到的短信,包括含有各种机密信息的短信,如银行客户端信息的一次性mTAN码、密码、个人签名和其他重要信息。
 |
 |
 |
||
 |
 |
|||
 |
||||
如果2012年类似恶意应用的数量仅为几个,而分布也只限于几个国家,那么2013年形势已发生了巨大变化:俄罗斯、泰国,英国,土耳其,德国,捷克,葡萄牙,澳大利亚,韩国等国家都已记录到使用银行木马进行攻击的事件。特别值得注意的是针对韩国用户的银行恶意软件:2013年这类木马在该地区大肆传播。仅在去年的最后三个月,Doctor Web公司的技术人员就记录到338例该恶意软件不同版本的传播。不法分子以发送包含恶意apk文件下载链接及附带文字的垃圾短信来传播木马,短信通常涉及需要检查邮件或需要了解其他重要信息。此类事件侦测动态见下表。
韩国安卓系统用户出现的银行木马传播事例
韩国用户最常遭遇的是下载以下木马间谍的风险:Android.Spy.45.origin、Android.SmsSpy.51.origin、Android.Banker.1.origin、Android.SmsSpy.53.origin、Android.Spy.67,以及Android.Spy.43.origin。其传播比例见下图。
2013年最后3个月在韩国用户中传播的安卓威胁
其它窃取各种用户信息的木马的数量也明显增加:2013年Dr.Web病毒库添加了很多此类恶意软件。包括Android.Phil.1.origin、Android.MailSteal.2.origin、Android.ContactSteal.1.origin,将电话通讯录中的信息发送给不法分子的木马家族Android.EmailSpy和Android.Infostealer的一些变种,使不法分子获得用户拨打电话信息的Android.Callspy.1.origin,以及完成综合间谍功能的其他类似恶意软件:拦截短信、跟踪定位,获取关于设备、已安装应用、SD卡文件等的信息。这些木马包括如Android.Roids.1.origin、Android.AccSteal.1.origin,以及Android.Wondertek家族恶意软件。
 |
 |
 |
 |
 |
 |
 |
|
技术人员还注意到出现了能够秘密监视安卓设备用户活动的构成潜在威胁的商业间谍软件。在过去的一年中侦测到了这种流行监控软件的新版本,如Android.MobileSpy、Android.SpyBubble和Android.Recon,以及此类软件的新代表:Program.Childtrack.1.origin、Program.Copyten.1.origin、Program.Spector.1.origin,Program.OwnSpy.1.origin、Android.Phoggi.1.origin等。
Google Play应用列表中的威胁
尽管安卓系统官方应用列表——Google Play——被认为是安卓移动设备最安全的软件下载源之一,它仍然不能保证绝对不存在恶意软件或风险软件。2013年记录到的出现于Google Play的一些威胁就是对此的有力证明。
例如,在4月份侦测到一些包含恶意广告模块Android.Androways.1.origin的软件,该模块向用户展示广告,令其下载木马软件。不法分子将该模块伪装成普通的广告系统,显示不同的消息通知,让游戏和应用开发者将模块集成到自己的软件产品中。与许多合法的广告平台一样,Android.Androways.1.origin能够在操作系统状态栏中显示推送通知,然而这些信息中可能显示虚假的某款软件必须下载更新的提醒。同意下载这种“更新”的用户就有可能安装木马家族Android.SmsSend软件而受到危害。
除此之外,木马广告模块Android.Androways.1.origin能够执行远程服务器发来的指令,并向其发送机密信息,例如手机号码、运营商代码和移动设备IMEI码。其受害用户可能已达到530万,成为Google Play列表存在以来通过其传播且感染设备数最多的安卓恶意软件之一。
2013年夏天,Doctor Web公司的技术人员发现多个越南开发者发布的媒体播放器应用,但事实上为包含恶意软件家族Android.SmsSend的木马携带软件。这些恶意软件添加到病毒库的名称是Android.MulDrop、Android.MulDrop.1和Android.MulDrop.2,在其被侦测到时的最少下载量已超过1.1万。
恶意应用启动后,会向用户提供内容访问权限,之后提取隐藏的木马,并开始安装。接下来安装的短信木马(Doctor Web公司将其命名为Android.SmsSend.513.origin和Android.SmsSend.517)会发送付费短信,从用户账户中支付。
12月份出现了48款图像合集软件,下载总量超过1.2万。这些应用启动后正常运行,然而除了公开的功能外,还会秘密向远程服务器发送受害者手机号码信息。Dr.Web病毒库中将其命名为 Android.Spy.51.origin,这种木马有一个有趣的特点:只对韩国用户号码感兴趣。这一点以及应用的名称和描述均为韩语都表明其主要攻击对象为韩国用户。获取的手机号可能会被用于市场营销,或转售给第三方,包括广告公司,甚至可能会出售给组织钓鱼攻击的不法分子。
除此之外,12月份还在Google Play列表中侦测到另外两种威胁。分别为木马Android.WhatsappSpy.1.origin和风险程序Program.Bazuc.1.origin。
第一个威胁是一种简单的游戏应用,会在安卓设备用户没有觉察的情况下向木马开发者服务器上上传包含安卓系统信息保存管理器WhatsApp的数据库。此外,恶意软件能够向服务器发送客户服务账户相关的图像和电话号码。然后任何一个感兴趣的人都可以访问Android.WhatsappSpy.1.origin制作者上传到网上的电话号码。尽管该应用被定义为创建WhatsApp软件列表副本的无害工具,但使用该应用所具有的潜在风险还是迫使Google集团将该软件从Google Play列表中删除。不过还是可以从开发者官方网站上下载,所以很多用户仍然面临不法分子进行间谍活动的威胁。
 |
 |
第二个风险应用叫做Bazuc,能够让用户通过自己的手机号发送广告信息短信来获得收入。根据Program.Bazuc.1.origin开发者的想法,软件适合无限短信套餐安卓设备使用,然而如果粗心的用户并没有这种套餐,他们将面临因发送数千条短信收到巨额账单的风险,其账户可能被锁定或被信息接收者起诉,因为收件人能够看到发件人的电话号码。
各种事件再次证明,尽管Google集团努力保证官方安卓应用列表的安全,但仍可能会含有各种威胁,所以安卓设备用户在安装未知或可疑软件时需保持谨慎。
操作系统漏洞
安卓操作系统从一个版本升级到另一个版本所带来的改善提高了其可靠性和安全性,然而各种漏洞仍时有发现。不法分子能够利用这些漏洞进行各种攻击,包括使用恶意软件进行攻击。如果说在2012年没有发现严重漏洞,也没有因木马导致的重大事件,那么在过去的12个月里发现了多个软件错误,可能使不法分子绕过安卓平台内置的保护机制,增加安卓木马传播机会。特别是名为Master Key (#8219321)、Extra Field (#9695860)和Name Length Field (#9950697)的这几个最明显的漏洞,由于这些漏洞的存在,加密签名完整性被破坏并在其中添加了恶意功能的软件安装包安装时会被安卓操作系统认为是未经修改的安装包。
值得注意的是,发现的错误主要是因为操作系统对zip文件(安卓应用基础压缩包,包含所有组件)某些特点进行解析和处理时使用的方法错误。Master Key漏洞表现为可以在apk文件(zip压缩文件,扩展名为“.apk”)内放置两个同名的文件对象,并放置于同一子目录下。因此,在安装经过这样修改的应用时,安卓安全系统会忽略源文件,而运行替代副本。Doctor Web公司的技术人员在7月份侦测到的木马Android.Nimefas.1.origin就是实际利用该漏洞的典型案例。该恶意软件具有多种功能,主要针对中国用户,能够执行来自不法分子的指令(例如,发送短信或拦截收到的短信,获取移动设备、通讯录和用户联系人等信息)。
利用第二个漏洞Extra Field理论上也能够在安卓应用中嵌入木马功能,只需要对zip文档构架做一些修改:添加至服务区域时,如果软件原组件之一(特别是classes.dex文件)数值缺少前三个字符,并同时将该文件的修改版本放置在该位置,后一个文件就会被系统认为是合法文件并允许安装。尽管利用这个漏洞受到dex文件大小限制,不应大于65533字符,但仍能够吸引不法分子利用它将相应大小的恶意组件置于无害的软件或游戏中。
至于漏洞Name Length Field,则与前两种漏洞相同,可利用类似手段对软件包构架进行一些修改,包括同时包含两个同名文件——源文件和修改后的文件。在安装这种应用时,源文件被一个安卓系统组件正确读取,而接下来,另一个系统组件会只处理修改过的文件,并把修改后的文件误判为唯一正确的文件。
Dr.Web for Android反病毒软件将所有这些利用漏洞的apk文件命名为Exploit.APKDuplicateName。
2013年侦测到的安卓操作系统另一潜在危险是可以安装人工加入存在zip文档密码标示的apk文件。存在这种标示不会妨碍在某些操作系统版本进行安装,但会妨碍反病毒软件对其进行扫描,可能导致反病毒软件无法侦测到已知的恶意软件。例如,Doctor Web公司技术人员在10月份侦测到的木马Android.Spy.40.origin的开发者就使用了这种技术。该恶意软件主要用于拦截短信,也能够完成其他一些功能。Dr.Web for Android反病毒软件算法进行修改后,已能够成功侦测类似威胁。
 |
 |
恶意活动隐蔽手段;对抗分析、侦测和删除
2013年,病毒编写者使用专门方法来妨碍对恶意软件进行分析、侦测和从移动设备删除的案例大大增加。例如,使用设备管理器标准系统功能成为安卓木马最常用的自我保护手段之一,作为管理器的应用会具有更广泛的权限,如控制锁屏、从待机模式恢复时要求输入密码,甚至可以清除所有数据恢复出厂设置。不法分子最近尤其钟爱这种方式的主要原因是,如使用标准方法删除管理器列表中的恶意软件会导致错误。
这不会给有经验的用户造成删除困难,因为只需要限制木马的相应权限,但绝大多数用户并不太懂技术,就不知道该如何进行删除。类似的保护方法也见于一些木马间谍和某些短信木马。
然而在某些情况下简单禁用管理员权限还不够:有时候恶意软件编写者会更进一步,在其功能中加入模式激活控制,如果用户试图禁用,“狡猾”的木马会加以阻止。例如,可以防止打开系统设置或不断显示需要权限的提示,直到用户同意为止。
2013年夏初侦测到的能够向付费号码发送短信以及在移动设备上下载其他恶意应用的恶意软件家族Android.Obad采用的就是这种自我保护技术。这些木马能够使用移动设备管理员功能特权,监控设备活动,同时利用操作系统错误,将其隐藏在相应列表中, 阻碍将其删除。
 |
 |
 |
移动设备用户还面临着另一个安全问题:市场上保护安卓应用不被编译、破解和修改的软件越来越多,因为类似的机制不仅能够被合法软件的开发者使用,也有可能被木马应用编写者利用。去年Doctor Web公司的技术人员就发现了多个使用这类系统的安卓木马,如恶意软件Android.Spy.67和Android.Tempur.5.origin。此外,木马编写者仍然广泛使用妨碍木马分析的模糊代码。
Dr.Web for Android反病毒产品即时进行了功能改进,以有效应对使用不同保护机制的威胁,因此,这些恶意软件已不能对Doctor Web公司用户构成威胁。
冒牌的反病毒软件
在过去的12个月中,木马家族Android.Fakealert新版本软件的数量明显增加,这是一种假冒的反病毒工具,虚假提示移动设备有各种威胁,并收取费用来清除不存在的威胁。去年Doctor Web公司病毒库中该类型恶意软件记录总数增长了5倍,总数达到10个。侦测到的这些木马的所有变种中最常见的是Android.Fakealert.10.origin,伪装成成人影片观看应用进行传播。该恶意软件启动后,会模拟现有的反病毒软件界面,提醒需要检测移动设备是否被感染。接下来侦测到“威胁”后,会立即提示需要购买所谓的软件完整版本。
 |
 |
 |
 |
网络犯罪服务:定制木马和专门的黑客工具
早在一年之前就开始逐渐形成的移动网络犯罪服务市场在2013年有了迅速发展。目前排在首位的最常见的非法服务之一是编写并销售属于家族Android.SmsSend和Android.SmsBot的各种短信木马。其作者给其“客户”提供的不仅是自己的恶意软件,还有以远程控制面板形式存在的现成解决方案,以及用来构建恶意网络和伙伴关系的软件工具。这些服务的价格从几百到几千美元不等。
而更严重的威胁是2013年出现了针对一些国家的银行木马。这类服务的一个突出案例是1月份开始销售的名为Perkele的木马,能够伪装成银行客户端官方应用界面,盗取用户机密信息,如短信。Dr.Web反病毒软件已侦测到该恶意软件的不同变种,命名为Android.SmsSpy家族。
此木马销量受限,并且能够攻击近70家大型信贷组织的用户,利用Perkele能够成功实施有高度针对性的攻击,导致用户遭受重大经济损失。
非法获取更多移动安卓设备用户机密信息的服务对于网络犯罪分子而言同样具有吸引力。能够在任何安卓应用或游戏中嵌入木马功能的专门软件的出现就是一个很好的例子。尤其是我公司技术人员在7月份记录到的两个这样的“产品”:Tool.Androrat和Tool.Raziel。第一个工具使用的是AndroRat远程访问和控制程序的自由源代码,该程序2012年被Dr.Web反病毒软件成功侦测,命名为Program.Androrat.1.origin。第二个“产品”使用的是自主研发的木马间谍软件,能够内置于安卓应用中,或者编译成独立的apk包。该恶意软件已添加至病毒库,命名为Android.Raziel.1.origin。
这些工具的特点是使用相对容易和简单,可以使一个不太懂编程的人就能创建木马安卓应用。这极大的增加了其潜在用户群,而受害者数量也会相应增加。
2013年安卓系统功能很简单的木马中也有一些特例值得一提。例如,木马间谍Android.EmailSpy.2.origin的一个变种在成功的向不法分子发送用户通讯录信息后,能够显示侮辱用户的图像,以表示木马作者对受害者的蔑视。
三月份侦测到的一个印度木马Android.Biggboss可以说是非常新颖。该恶意软件通过各种软件汇编网站传播,隐藏在不法分子修改过的应用中,一旦安装到移动设备上,启动操作系统时会显示一个对话框,提示收到某人事部门的重要信息。如果用户同意查看该”信息“,木马会在浏览器中加载一个联系虚构的TATA India Limited公司人事部门的网页,而该网页与真正的TATA集团没有任何关系。随着对潜在职位的诱人描述,交谈过程中会要求将一定金额转到诈骗者银行账户中,以保证候选人能够获得职位。
 |
 |