Android kötü amaçlı yazılım geliştirme için yeni teknoloji | 360 kötü amaçlı yazılım özel raporu
Lei Feng ağı: 360 alev laboratuvarı tarafından "2016 Android kötü amaçlı yazılım özel raporu" ndan uyarlanmıştır, Android virüs analizi, mobil siyah ürün araştırması, mobil tehdit uyarısı, Android güvenlik açığı madenciliği ve diğer mobil güvenlik alanları ile Android güvenlik ekolojisi üzerine derinlemesine araştırmalara adanmıştır.
Kötü amaçlı programların bulaştığı cep telefonu kullanıcıları açısından 2016 yılı boyunca 360 İnternet Güvenlik Merkezi, kötü amaçlı programların bulaştığı toplam 253 milyon Android kullanıcısı tespit etti ve günlük ortalama kötü amaçlı program bulaşma sayısı yaklaşık 700.000'dir. Kimlik avı yazılımı, fidye yazılımı, porno oynatıcı yazılımı ve inatçı Truva atları 2016'da popüler kötü amaçlı yazılım haline geldi.
Kötü amaçlı yazılım geliştirme teknolojisi perspektifinden bakıldığında, 2016 yılında kötü amaçlı yazılım, sosyal mühendislik, arayüz kaçırma, kırma arayüzleri, açık kaynak projeleri, basit geliştirme araçları, parçalanmış kod, sistem kök süreçlerini enjekte etme, sistem önyükleme alanlarını kurcalama ve proxy geri tepme teknolojileri ana haline geldi Yeni teknoloji kullanıldı.
1. Sosyal Mühendislik
Sosyal Mühendislik (Sosyal Mühendislik), psikolojik zayıflık, içgüdüsel tepki, merak, güven ve açgözlülük gibi psikolojik tuzaklarla kurbanları kandırarak ve inciterek kişisel çıkar elde etme yöntemidir.
Android sistem sürümünün yükseltilmesiyle, Android sistemi, kullanıcının kullanılmadan önce onu aktif olarak yetkilendirmesini gerektiren erişilebilirlik modu ve dinamik izin modeli gibi güvenlik politikaları açısından daha da geliştirilmiş ve optimize edilmiştir. Android kötü amaçlı yazılım, sosyal mühendisliğin yardımıyla hızlı bir yükseliş ve hatta kötüye kullanım eğilimi haline geldi. Simgeleri ve metinleri teşvik ederek, kötü amaçlı yazılımların normal çalışma ortamını sağlamak için kullanıcıları ilgili işlev izinlerini vermeye yönlendiriyor.
2. Arayüz ele geçirme
Kullanıcı deneyimini iyileştirmek için, Android temelde farklı uygulamalar arasında sorunsuz bir şekilde geçiş yapar. Sadece bir Aktiviteyi değiştirirler, bir tanesi ön plan ekranına geçer ve diğer uygulama görünmez arka planda kaplanır. Bir Aktivite başlatıldığında, geçmiş yığınının üstüne itilir ve telefonda görüntülenir. Kullanıcı dönüş tuşuna bastığında, en üstteki Etkinlik açılır, önceki Etkinlik geri yüklenir ve yığının tepesi geçerli Etkinliği gösterir.
Arayüz ele geçirme teknolojisi, Android 5.0'ın altındaki sistemlerde programın o anda çalışan görevleri sıralayabileceği ve kötü amaçlı yazılımın hedef uygulamanın çalışmasını izlediği anlamına gelir. Mevcut çalışan arayüzün izlenen uygulamanın belirli bir arayüzü olduğu tespit edildiğinde (genellikle bir giriş veya ödeme arayüzü) ), orijinal uygulamanın normal arayüzünü kapsayacak şekilde sahte bir kimlik avı arayüzü açılır, kullanıcıyı bilgi girmeye teşvik eder, bilgileri geri iletir ve son olarak kullanıcı gizliliğini çalar.
Google, Android 5.0 ve sonraki sürümlerde yığının en iyi Etkinliğini elde etme yöntemi olan getRunningTasks kullanımını resmi olarak kısıtlar ve bu yöntemin artık üçüncü taraf uygulama bilgilerini elde edemediğini ve yalnızca kendisini veya hassas bilgiler içermediği bilinen bazı programları elde edebileceğini belirtir. .
Android 5.0 ve üzeri bu saldırı yöntemini zayıflatsa da Google'ın en son Android sistem sürümü muhasebe istatistiklerine göre 5.0'ın altındaki Android sürümleri hala belirli bir pazar payına sahip ve bu cep telefonları yine de bu tehditten muzdarip olabilir.
3. Kötü amaçla kullanılan yasal prosedürler
(1) Arayüzü kırın
Arayüzün kırılması, yazılımın belirli bir işlevsel modülünün temel mekanizmasının tersine çevrilmesi ve daha sonra değiştirilerek kullanım amacına ulaşmak için kullanılması anlamına gelir. .
2016 yılında, yakaladığımız Root'u, cep telefonunun Root hizmetini sağlayan bazı yazılımları, Root fonksiyon arayüzünü kıran ve suçlular tarafından onu kötü amaçlı yazılımın içine yerleştirmek için kullanılan Root'u elde etme işlevi ile kötü amaçlı yazılım kodundan keşfedildi.
(2) Açık kaynak projeleri
GitHub, açık kaynak ve özel yazılım projeleri için bir barındırma platformudur. Benzer şekilde, köklendirme işlevi ile yakaladığımız kötü amaçlı yazılım kodundan, GitHub'da "android-köklendirme-araçları" gibi bazı açık kaynak projelerinin Android'e gömülü olduğunu gördük. Truva Atı'nda kötü amaçlı kullanım.
Dört, geliştirme araçları
(1) Basit geliştirme araçları yaygın olarak kullanılmaktadır
AIDE, Android ortamında bir geliştirme aracıdır. Bu geliştirme aracı bir bilgisayar gerektirmez ve Android örneklerinin kod yazımı, derlemesi, paketlenmesi ve imzalanması gibi tüm geliştirme sürecini tamamlamak için yalnızca bir cep telefonunda çalıştırılması gerekir.
2016 yılında "ANDROID Ransomware Araştırma Raporu" nu yayınladık, rapor, Çin'deki çok sayıda kilit ekranı yazılımının yasal geliştirme aracı AIDE'yi kullandığına dikkat çekti, çünkü bu aracın kullanımı basit ve kullanışlı, düşük geliştirme eşiği ve hızlı değişim hızı, onu yasa dışı yapıyor. Fidye yazılımının moleküler gelişimi için ilk tercih.
(2) Kodu araçlarla parçalama
Instant Run, resmi Android uygulama geliştirme aracı olan Android Studio 2.0'a eklenen yeni bir anında çalıştırma işlevidir. Geliştiricilerin, güncelleme .zip dosyalarını uygulamaya göndererek uygulamalarda hata ayıklamak için güncellemeleri hızlı bir şekilde dağıtmalarına olanak tanır.
Android kötü amaçlı yazılımları, kötü amaçlı kodları zip dosyalarına dağıtan ve gizleyen, güvenlik yazılımı algılamasını ve öldürmeyi önleyen Anında Çalıştırma işlevini temel alır. 2016'da 360 İnternet Güvenlik Merkezi, Anında Çalıştırma işlevine dayalı olarak toplam yaklaşık 1.400 kötü amaçlı yazılım yakaladı.Android Studio, Anında Çalıştırma işlevini yalnızca Nisan ayında resmi olarak başlattığından, ilk çeyrekteki yeni örneklerin sayısı çok azdı.
Beş, gelişmiş teknik araç
(1) Sistem kök sürecini enjekte edin
Android sisteminin kök süreci olan Zygote işlemi, Android sistemindeki tüm işlemlerin ana sürecidir. Mart 2016'da Zigot tabanlı saldırı "Triada" Truva atı ailesi ortaya çıktı.Bu Truva atının en dikkat çekici özelliği Zygote işleminin kullanılmasıdır.Sisteme girdikten sonra uygulama sürecinin bir parçası olacak ve cihazdaki herhangi bir uygulamada başlatılabilecektir. Önceden yükleyin ve hatta uygulamanın çalışma mantığını değiştirin. Kullanıcılar uygulamada SMS yoluyla Android oyunları satın aldıklarında, bilgisayar korsanları, kullanıcının ödemesini yasa dışı bir şekilde almak için gönderilen SMS'i değiştirmek için Triada Truva Atı'nı kullanabilir.
(İki) sistem önyükleme alanına müdahale
Haziran 2016'da 360 Internet Security Center, sistem önyükleme alanının Önyükleme Görüntüsünü değiştirerek ve sistemin çekirdek dosyalarını değiştirerek kendi kendini korumayı sağlayan ilk Android kötü amaçlı yazılım "Hellfire" ı keşfetti. Boot.img bölümü, Android sistemi normal modda başladıktan sonra yüklenecektir. Boot.img bölümü Linux çekirdeğini ve Ramdisk'i içerir. Ramdisk, başlatma init işlemi ve init.rc dosyaları gibi sistemi başlatmak için gereken tüm temel dosyaları içeren küçük bir dosya sistemidir. Oldboot ile karşılaştırıldığında virüs, SEAndroid ve dm_verify gibi Android sistemlerinin güvenlik korumasını da atlar.
(3) Ajans ribaund
Birçok şirket kurumsal ağ güvenliği konusuna gittikçe daha fazla önem veriyor.Genel olarak, güvenlik duvarları kurumsal bilgi sistemlerinin ön ucunda konuşlandırılır.Sistem yöneticileri, iş gereksinimlerine göre bağlantı noktası eşleştirme ve diğer yollarla gerekli dahili hizmet bağlantı noktalarını genel ağa eşler. Bir güvenlik duvarının konuşlandırılmasıyla, bilgi sisteminin dahili alanı mantıksal olarak genel ağdan ayrılabilir ve ilgili stratejiler, harici saldırıları etkili bir şekilde önlemek veya azaltmak için kullanılabilir.
Eylül 2016'da, "DressCode" kötü amaçlı yazılım ailesi, dahili ağ güvenlik duvarı kısıtlamalarını aşmak ve dahili ağ verilerini çalmak için SOCKS proxy zıplama teknolojisini kullanır. Dahili ağa sızmak için bir proxy aracılığıyla güvenlik duvarını atlamanın bu yöntemi PC'lerde yeni değildir, ancak mobil terminalleri bir sıçrama tahtası olarak kullanmak Kurumsal intranetlerin penetrasyonunu ilk gören ve Android platformunda ortaya çıkan yeni bir ileri teknoloji yaklaşımıdır.
