Android恶意软件的技术演进

平静的湖面上

引 言
移动终端已经成为我们日常工作生活中不可缺少的一部分。据统计，中国活跃移动终端数量高达16.3亿台，其中76.5%为Android操作系统。随着Android移动终端的大范围普及使用，大量恶意应用也随之产生。攻击者可通过这些恶意应用窃取个人隐私数据，进而威胁到个人和国家的安全。本文从近年Android恶意软件发展、恶意行为、技术演进等角度进行了阐述，并对三个典型的Android恶意软件样本进行了分析。
Android恶意软件概述
Android恶意软件是当前移动互联网上最大的安全威胁之一，是一种恶意侵入性软件程序，包括但不限于病毒、蠕虫、间谍软件、网络钓鱼、勒索软件和键盘记录器等。攻击者通过不同手段将恶意软件分发到互联网上进行传播，给公众的个人信息安全、财产安全以及企事业单位的信息安全带来了严重威胁。
Android恶意软件行为分布
目前Android平台的恶意软件行为以隐私窃取、恶意扣费和资费消耗等类型为主。用户在享受应用程序带来的便利的同时，不易察觉到恶意软件带来的潜在风险。以下是几种典型的恶意行为：
（1） 未明确提示用户或未经用户许可，收集用户信息，包括姓名、生日、身份证、住址、电话号等；
（2） 窃取用户隐私数据，如电子邮件、聊天记录、账号密码和银行卡信息等，进而对用户银行账户进行攻击；
（3） 控制设备进行音频和视频采集，获取地理位置信息，对用户和周边环境进行实时监控；
（4） 未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍活动或残存程序；
（5） 诱导用户发送付费短信或购买付费应用，造成经济损失；
长期运行在后台，占用系统资源，消耗设备电量，实施挖矿、刷流量等行为。

Android恶意代码的技术演进
1、传播技术
Android平台的恶意软件传播通常以诱导用户操作的方式触发恶意行为，以下是几种典型诱导用户操作的传播方式：
（1） 恶意软件：攻击者将恶意软件伪装成常用应用程序并上传到应用商店，诱导用户下载；
（2） 恶意链接：攻击者向目标用户发送包含恶意链接的电子邮件、短信或二维码，诱导用户点击或扫描，之后会自动下载并安装恶意软件；
（3） 恶意广告：攻击者将恶意链接隐藏到在线广告中，用户通过点击“X”来关闭恶意广告可能会跳转到非法网站。
近年来，有恶意应用能够实现主动传播，例如ADB.Miner挖矿木马通过网络端口扫描技术来进行自我复制和传播：利用端口5555上可公开访问的 ADB 调试端口，扫描并感染各种安卓设备，以此来进行传播。

此外，一些新型Android恶意软件利用“零点击”漏洞进行攻击，即攻击者向目标发送恶意链接或短信，无需目标点击，即可安装恶意软件并进行攻击。为了实现零点击攻击，攻击者会寻找手机操作系统或安装在手机上的应用程序中的漏洞，然后使用隐藏的文本消息或图像文件将代码注入目标设备。一旦设备遭到入侵，用于利用该设备的消息就会自毁从而消除攻击的痕迹。
除了通过网络传播，还有基于物理接触的传播方式。攻击者在充电宝里面添加了一些攻击性的硬件或者篡改公共充电电缆。当移动设备接入被篡改的充电宝或者公共充电电缆时，攻击者便可访问设备，窃取用户数据，甚至进行勒索。

2、攻击实施技术
移动终端与计算机在体系结构、使用方式等方面具有相似性，例如可以下载安装并运行应用程序，可以通过浏览器浏览网页。因此，一些计算机上恶意代码攻击技术也逐渐应用于移动终端上，例如WebView覆盖攻击、DDoS攻击等。除了以上这些传统的攻击手段，攻击者根据Android系统的特性，针对Android应用程序的运行方式，研发出多种攻击技术。近几年，Android平台上的恶意软件技术日趋成熟，其典型的实施方式包括以下几大类：
（1）窃密类攻击
窃密类软件多见于特种木马或银行木马。这一类软件通常会伪装成常用软件，当用户下载并安装后，攻击者就可以通过实时监控设备屏幕，并且根据用户安装的应用列表，获取到已安装的银行应用，通过远程控制指令下载对应的恶意代码，并注入到银行应用中。之后，诱导用户输入密码、短信验证码等，最终导致用户个人信息泄露，造成财产损失。
窃密类软件通常会用到监听和远程控制技术：通过无障碍服务实时进行屏幕共享，跟踪并记录应用程序列表，应用程序包名，检索并窃取用户凭证和短信。
（2）勒索类攻击
勒索类软件又称为“赎金木马”。攻击者将用户设备锁屏并修改密码或者对目标数据进行加密后，要挟受感染的终端用户支付赎金后，才能解锁、解密被劫持的资源。
在Android平台上，勒索软件能够成功运行的关键在于获取设备管理器权限。这一权限原本是厂家开发手机防盗功能的一个接口，只要用户安装此类应用并激活设备管理器权限，便可以使用锁定屏幕、重置密码、监控密码输入、擦除数据等功能。因此，一旦用户授予勒索软件设备管理器权限，攻击者就可以对用户的手机进行锁定并重置密码。为了获得这一权限，一些勒索软件使用点击提升技术：创建一个Activity来覆盖激活设备管理器权限的界面。通过点击虚假Activity中的按键，受害者无意间激活了设备管理器权限。
（3）挖矿类攻击

Android平台上的挖矿类软件利用设备的CPU计算能力来挖掘电子货币。攻击者首先通过挖矿木马远程控制用户手机，然后使手机持续在后台进行挖矿行为来为其牟利。其挖矿方式通常为使用矿池来进行挖矿，即嵌入开源的矿池代码库进行挖矿和使用矿池提供的浏览器JavaScript脚本进行挖矿。
3、自我保护技术
恶意代码自我保护技术主要包括隐藏、伪装以及对抗分析。攻击者常将恶意软件伪装成游戏App或是防病毒App等合法应用，发布在应用商店诱使用户下载。通过清空应用程序标签并在安装后使用透明图标，实现应用的隐蔽安装。采用对抗分析技术，例如动态加载、添加花指令以及对通信数据进行加密来抵抗杀毒软件的自动化沙箱检测和人工代码分析。

总结与建议

目前，网络上存在着大量的Android恶意软件，同时还有新的恶意软件在被不断开发，网络安全形势依然严峻。针对Android恶意软件的预防措施主要包括：
（1）从官方应用商店下载应用程序，避免从第三方网站下载应用程序；
（2）下载时尽可能选择使用人数多，用户评价好的应用程序；
（3）不相信、不下载“破解版”应用程序；
（4）不点击通过短信、社交媒体等发送的未知链接；
（5）应用程序授权时，尽可能不授予如修改系统设置、读写剪贴板、读写联系人等权限；
（6）应用处于未使用状态时，尽可能关闭其相关权限；
（7）当系统或应用软件提示“有新版本，可进行更新”时，尽可能进行系统和软件更新，因为更新时可能会修复一些被恶意软件利用的漏洞；
（8）使用安全公司提供的正版杀毒软件或手机自带的杀毒定期进行病毒查杀和手机软件检测。

后来居士

大人，此事必有蹊跷！