最可怕的六種移動攻擊策略

近日，一系列零點擊漏洞、以及iPhone“關機狀態攻擊”的新聞再次讓移動安全成為業界關注的焦點。

多年來，移動攻擊與移動互聯網經濟如影隨形，但值得警惕的是，近來隨著更復雜功能更強大的移動攻擊技術和惡意軟件“進場”，移動攻擊威脅正在迅速演變和升級。

隨著犯罪分子和國家黑客不斷探索新的方法在iPhone和安卓智能手機上安裝高級功能的惡意程序，移動平臺受到的威脅越來越大。

攻擊者現在正在積極部署具有完整遠程訪問功能、模塊化設計以及可對用戶和公司構成重大威脅的具有蠕蟲特征的惡意軟件。其中許多惡意軟件家族通過定期的開發更新不斷改進，網絡犯罪分子在繞過官方應用商店的審查程序方面也做得越來越好。與此同時，美國和歐盟都在考慮新的反壟斷法規，可能使“側載”（Side Load）應用程序成為消費者權利，這進一步增加了移動應用程序的安全風險。

以下是企業需要密切關注和積極應對的六種移動惡意軟件策略：

1設備端欺詐（ODF）

最令人擔憂的移動惡意軟件新功能之一是能夠直接從受害者的手機上發起和執行欺詐活動。這種先進的功能被稱為設備端欺詐(ODF)，已在最近的移動銀行木馬中檢測到，其中最著名的是Octo、TeaBot、Vultur和Escobar。在Octo的案例中，惡意軟件利用了安卓系統的MediaProjection服務（啟用屏幕共享）和Accessibility Service（遠程在設備上執行操作）。這種手動遠程訪問功能也已通過VNC查看器的實現啟用，例如Escobar和Vultur。

ODF標志著移動攻擊的重要轉折點：攻擊重點目標從憑據盜竊和數據泄露轉向欺詐實施。值得注意的是，盡管大多數ODF木馬主要用于實施金融盜竊，但這些模塊也可被用于攻擊對其他類型的企業帳戶和通信協作工具，例如Slack、Teams和Google Docs。

2通話重定向

另一個令人不安的功能是攔截合法電話，最近出現在Fakecalls銀行木馬中。

在這種攻擊中，惡意軟件可以在呼叫者不知情的情況下斷開用戶發起的通話呼叫連接，并將呼叫重定向到攻擊者控制的另一個號碼。由于呼叫屏幕繼續顯示合法電話號碼，因此受害者無法知道他們已被轉移到虛假呼叫服務。惡意軟件通過在應用程序安裝期間獲取呼叫處理權限來實現這一點。

3通知直接回復功能濫用

今年2月，間諜軟件FluBot（5.4版）引入了濫用Android通知直接回復的新功能，該功能允許惡意軟件攔截并直接回復其目標應用程序中的推送通知。此功能在其他移動惡意軟件中也被發現，包括Medusa和Sharkbot。

這種獨特的功能允許惡意軟件簽署欺詐性金融交易、攔截雙因素身份驗證碼并修改推送通知。此功能還可通過向社交軟件通知發送自動惡意響應，以類似蠕蟲的方式將惡意軟件傳播給受害者的聯系人，這種策略被稱為“推送消息網絡釣魚”。

4域生成算法

Sharkbot銀行木馬還有一個值得注意的特性：域生成算法(DGA)，可以用來逃避檢測。與其他具備DGA算法的傳統惡意軟件一樣，移動惡意軟件不斷為其命令和控制(C2)服務器創建新的域名和IP地址，這使得安全團隊難以檢測和阻止惡意軟件。

5繞過官方應用商店檢測

蘋果和安卓的官方應用商店的應用程序審查流程一直是惡意軟件與審查者玩貓捉老鼠游戲的地方，但最近的一些網絡犯罪新策略值得注意。例如，CryptoRom犯罪活動濫用蘋果公司的TestFlight beta測試平臺和Web Clips功能，通過完全繞過App Store將惡意軟件發送給iPhone用戶。一名犯罪分子用另一種方法成功繞過了Google Play的安全審核流程，該犯罪分子向開發人員付費以在其應用程序中使用其惡意SDK，然后竊取用戶的個人數據。

dropper在移動惡意軟件分發中變得越來越普遍，研究人員最近注意到這些服務以及其他分發參與者在地下市場的活動有所增加。

6更精細的開發實踐

模塊化惡意軟件設計并不新鮮，更可怕的是攻擊者還在開發具有高級更新功能的安卓銀行木馬，例如最近發現的Xenomorph惡意軟件。Xenomorph結合了模塊化設計、可訪問性引擎、基礎設施和C2協議，以提供重要的更新功能，使其成為更先進的木馬，包括自動傳輸系統(ATS)功能。展望未來，更多移動惡意軟件系列將整合更好的更新流程，在受感染設備上啟用增強功能和全新功能。

總結：針對性的防御策略

為了應對這些新的移動惡意軟件策略和威脅，企業需要確保其網絡安全計劃包括強大的移動安全防御體系，其中包括移動設備管理解決方案、多因素身份驗證和強大的員工訪問控制。而且，由于移動惡意軟件感染通常始于社會工程，因此公司應積極提供安全意識培訓，并考慮部署技術監控移動攻擊的通信渠道。