把手機變“肉雞”，移動應用攻擊的新特點與防護

近年來，隨著移動互聯產業的興起，移動應用軟件（App）逐漸滲透到社會生活的各個領域，App種類和數量呈爆發式增長。第三方軟件開發包（SDK）、移動應用接口（API）、人臉識別等生物技術廣泛集成、應用于移動應用軟件中，為日益豐富的企業化App功能、服務提供了更多技術解決方案。

然而，隨著更復雜、更新穎的惡意軟件攻擊方法出現，移動業務應用的網絡威脅也正在迅速演變，移動應用安全事件頻繁發生。調查數據顯示，2021年全球有接近四分之一的企業組織遭受過移動端的黑客攻擊和數據泄漏，為企業造成了數十億美元的業務收入損失、修復成本和品牌聲譽損害等。

1移動應用攻擊的新特點

研究機構發現，移動應用攻擊正在不斷升級演變，對傳統企業安全帶來新的挑戰。以下是企業需要充分了解的移動應用攻擊新特點：

1. 設備端欺詐

移動應用攻擊領域最令人不安的新動向之一，是惡意軟件能夠直接控制受害者的終端設備來實施欺詐行為。這種攻擊方法被稱為設備端欺詐（ODF），它標志著移動應用程序攻擊方式的一個重大轉變。此前，移動應用程序攻擊主要針對憑證竊取及其他類型的數據泄露，ODF出現以后，可以使攻擊者通過惡意軟件直接控制受害者的設備實施欺詐行為。

目前，安全人員已經發現這種高級攻擊手法出現在移動銀行木馬中，比如：Octo、TeaBot、Vultur和Escobar。以Octo為例，惡意軟件利用安卓的MediaProjection服務（用于啟用屏幕共享）和Accessibility Service（用于在設備上遠程執行操作），可以在用戶無感知的情況下操作手機設備實施非法活動。

雖然大多數ODF木馬針對金融業務實施數據竊取，但這些模塊稍加改動，就可以針對企業其他類型的賬戶和通訊工具，比如Slack、Teams和Google Docs展開攻擊。

2. 電話呼叫重定向

另一個頗具危害的攻擊方法是電話呼叫重定向。研究人員在Fakecalls銀行木馬中，發現了攔截合法電話呼叫的攻擊手段，在這種攻擊中，攻擊者在應用程序安裝期間獲得呼叫處理權限，通過惡意軟件使呼叫者在不知情的情況下，斷開用戶發起的呼叫連接，并將呼叫重定向至攻擊者控制的另一個號碼。由于呼叫屏幕繼續顯示合法電話號碼，因此受害者無法知道通話已被轉移到非法的呼叫對象，因此也不太可能采取相應的安全措施，因此會給受害者造成較大的財產損失。

3. 竊取通知直接回復功能

今年2月，FluBot間諜軟件（版本5.4）被曝出盜用安卓通知直接回復（Notification Direct Reply）功能的新手法，讓惡意軟件得以攔截并直接回復其目標應用程序中的推送通知。這項功能目前也出現在了其他移動端惡意軟件中，包括Medusa和Sharkbot。這種攻擊模式讓惡意軟件可以攔截雙因素身份驗證碼來實施欺詐性金融交易，并在需要時篡改通知的內容。

此外，通知直接回復功能還可被用于通過向社交媒體應用（比如WhatsApp和Facebook Messenger）發送自動惡意響應，以類似蠕蟲的方式將惡意軟件傳播給受害者的聯系人，這種手法名為“推送消息網絡釣魚”。

4. 通過域生成算法規避檢測

DGA（Domain Generation Algorithm，域名生成算法）是一種傳統惡意軟件經常使用的算法，可定期生成大量域名，讓C&C服務器更加隱蔽，降低攻擊發現幾率，增強僵尸網絡的魯棒性。今年初，Check Point 公司的研究人員在谷歌官方應用商店中發現了多個用于傳播 Android SharkBot 銀行木馬的惡意APP應用，也開始采用DGA算法來躲避現有的移動安全檢測工具。

黑白名單機制是一種應對DGA非法域名創建的檢測方式，但是如果帶有DGA能力的移動應用攻擊軟件為其指揮和控制（C2）的服務器頻繁創建大量新域名和IP地址，這將給安全團隊檢測和阻止惡意軟件帶來很大挑戰，因為企業通常沒有能力每天都更新、維護域名黑名單庫。

5. 繞過應用程序商店審查

應用程序商店的審查流程與惡意軟件開發人員一直在玩貓捉老鼠的游戲，不過，最近網絡犯罪的一些新手法似乎“更勝一籌”。比如，CryptoRom犯罪活動利用了蘋果公司的TestFlight beta測試平臺和Web Clips功能的缺陷，成功繞過應用程序商店的檢測，將惡意軟件分發到iPhone用戶。不僅是蘋果系統，一些網絡犯罪分子也成功繞過Google應用商店的安全審查，通過收買合法應用程序的開發者，在其中植入惡意SDK模塊來竊取用戶的個人數據。

6.惡意軟件功能模塊化、流程化

雖然采用模塊化方式設計惡意軟件已較為常見，但現在發現的移動APP惡意程序開始有體系化的功能更新流程，比如近期發現的Xenomorph惡意軟件通過結合模塊化設計、可訪問性引擎、基礎架構優化和C2協議，已能夠實現流程化的功能更新和版本迭代，使其危害性和攻擊能力更快速地增長，包括自動傳輸系統（ATS）功能的實現。將來，更多的移動惡意軟件家族會通過更完整的更新模式和流程，在受感染的移動設備上不斷啟用全新的攻擊功能。

2移動應用安全防護

移動應用攻擊正在成為網絡犯罪活動的主戰場。大多數移動應用安全事件是由系統漏洞、不安全的編碼實踐，以及缺乏足夠的安全測試能力造成的。為了應對這些新的移動應用攻擊手法，企業需要確保其網絡安全計劃中包含了全面的防御手段，包括移動設備管理解決方案、多因素身份驗證以及有效的員工訪問控制等。

此外，企業安全團隊需要在移動業務開發生命周期中加強對應用的測試，更快地發現漏洞，同時監控部署的所有移動應用，以降低發生重大移動應用安全事件的幾率。企業可以通過動態移動應用安全測試、對移動開發人員的更好培訓以及更加重視移動應用安全來避免發生這類事件。

同時，在數字經濟蓬勃發展的大背景下，做好移動App應用安全防護不僅需要技術手段上的安全防護，還需要安全意識和管理運維水平的同步提升。由于移動惡意軟件感染通常會大量利用社會工程學方法，以企業中的員工作為攻擊突破口，因此企業應提供安全意識培訓，并考慮針對這些攻擊采用監控通信狀態的技術。