注：【 圖片來源：SecurityIntelligence 所有者：SecurityIntelligence 】

對(duì)于許多手機(jī)用戶來說，遭到惡意軟件的攻擊并不怎么新鮮。但近幾個(gè)月來，惡意軟件的開發(fā)者變得越來越狡猾猖狂，他們已經(jīng)能夠輕易地隱藏或部署這些具有破壞力的軟件，更重要的是，他們?cè)絹碓郊みM(jìn)。這種趨勢(shì)讓廣大移動(dòng)用戶受到威脅。

Kaspersky實(shí)驗(yàn)室曾發(fā)布了一份《2018年移動(dòng)惡意軟件發(fā)展情況報(bào)告》，報(bào)告顯示，受到惡意軟件攻擊的設(shè)備數(shù)量從2017年的6640萬臺(tái)飆升至2018年的1.165億臺(tái)。報(bào)告還顯示，從2017年到2018年，“Trojan-droppers”（一種惡意軟件）的數(shù)量翻了一番。惡意軟件的質(zhì)量（精確性和影響力）也在不斷增強(qiáng)。

在McAfee公司最近發(fā)布的報(bào)告表示，數(shù)十家應(yīng)用商店都隱藏著山寨應(yīng)用，這類應(yīng)用在2018年年中大概只有1萬個(gè)，然而，預(yù)計(jì)到2019年年底，數(shù)量會(huì)升至6.5萬個(gè)。

此外，Verizon公司最近進(jìn)行的調(diào)查結(jié)果顯示，大多數(shù)受訪者都認(rèn)為自己的公司處在被惡意軟件攻擊的風(fēng)險(xiǎn)之中。有三分之一的公司承認(rèn)，遭到惡意攻擊后，他們都選擇了妥協(xié)。而且，有超半數(shù)的人表示，他們?yōu)榱送瓿晒ぷ鞅仨殹盃奚卑踩?，比如使用不安全的公共WiFi，哪怕這樣存在安全隱患。

所有數(shù)據(jù)都表明，移動(dòng)設(shè)備遭受的威脅正飛速增長(zhǎng)，然而，這并不能阻擋惡意軟件的發(fā)展。我們應(yīng)該做好心理準(zhǔn)備，這一系列的數(shù)字在2019年都會(huì)大幅增長(zhǎng)。

Anubis的規(guī)避策略

一般來說，利用應(yīng)用程序來傳播惡意軟件是最有效的方式。惡意軟件要想潛入非正規(guī)的應(yīng)用商店十分簡(jiǎn)單，因?yàn)檫@種應(yīng)用商店很少或根本不會(huì)對(duì)這些軟件進(jìn)行篩查。但可怕之處在于，惡意軟件要想通過正規(guī)應(yīng)用商店的檢查也很簡(jiǎn)單。

我們先來瞧一瞧新型惡意軟件Anubis是如何將“創(chuàng)新”發(fā)揚(yáng)光大的。

在谷歌的Play store中，Anubis至少植入在兩個(gè)應(yīng)用程序里。狡猾的Anubis的開發(fā)者發(fā)現(xiàn)，谷歌安全員一般使用模擬器搜索應(yīng)用程序中的木馬，所以，他們利用目標(biāo)手機(jī)的運(yùn)動(dòng)傳感器來隱藏自己的惡意軟件。

他們把Anubis設(shè)定成檢測(cè)到運(yùn)動(dòng)后才激活，因此，這種惡意軟件對(duì)研究員來說是隱形的。只有用戶的運(yùn)動(dòng)傳感器開始運(yùn)行，Anubis才可以激活。

Trend Micro公司今年1月報(bào)道稱，通過檢測(cè)運(yùn)動(dòng)實(shí)現(xiàn)激活的Anubis出現(xiàn)在兩個(gè)看似正常的應(yīng)用程序中，一個(gè)是4.5星評(píng)級(jí)的電池?cái)U(kuò)展程序，另一個(gè)是貨幣轉(zhuǎn)換器。Anubis激活之后，為了竊取憑證會(huì)安裝一個(gè)鍵盤記錄程序，或者直接截屏。

clipper潛入play store

除了之前提到的Anubis，今年2月，安全公司ESET在谷歌的play store中發(fā)現(xiàn)的第一個(gè)clipper惡意軟件：Android/Clipper.C。

以前，這種惡意軟件常常出沒在非正規(guī)的應(yīng)用商店里，然而現(xiàn)在，它已潛入正規(guī)應(yīng)用商店。

這種惡意軟件會(huì)用其他數(shù)據(jù)替換設(shè)備剪貼板里的內(nèi)容，比如，該軟件會(huì)在用戶進(jìn)行加密貨幣交易時(shí)切換存款帳戶，將交易轉(zhuǎn)移到其他帳戶。

此外，Android/Clipper.C還試圖竊取憑證和私鑰，并將它們發(fā)送到攻擊者的Telegram賬戶，竊取以太坊的資金。它還可以更換以太坊或比特幣錢包地址。

根據(jù)谷歌的數(shù)據(jù)，在2018年，play store里潛在有害應(yīng)用程序(PHA)的安裝率約為0.04%。然而，我們不該對(duì)這個(gè)利率的微小而感到安慰，因?yàn)檫@個(gè)幾率代表著你每下載2500次，就會(huì)有一次安裝到PHA，或者說，一個(gè)擁有數(shù)千名員工的公司可能安裝了很多PHA。

一不小心就中了頭彩

今年1月，科技公司Upstream發(fā)現(xiàn)，Alcatel的智能手機(jī)Pixi4和A3 Max里安裝了惡意軟件。這就意味著，即便是通過合法渠道購買的全新手機(jī)也有可能含有惡意軟件。

惡意軟件隱藏在預(yù)裝的天氣應(yīng)用程序中，這款天氣應(yīng)用可以在谷歌Play store上下載，下載量超過1000萬次。目前，它已經(jīng)被下架。

該惡意軟件收集了各種各樣的數(shù)據(jù)，如位置信息、電子郵件地址和IMEI碼，并將其發(fā)送到遠(yuǎn)程服務(wù)器。不僅如此，它還有可能加載了廣告軟件，或悄悄為用戶訂閱了付費(fèi)的服務(wù)。

到目前為止，尚不清楚惡意代碼究竟是如何進(jìn)入天氣應(yīng)用程序的。但人們普遍認(rèn)為，程序開發(fā)人員使用的個(gè)人電腦遭到了黑客攻擊。

“禍”從相冊(cè)來

之前的例子大概都是因?yàn)樽约旱尿}操作而導(dǎo)致中招。其實(shí)，哪怕你的手機(jī)沒有下載任何應(yīng)用程序，也有被惡意軟件攻擊的風(fēng)險(xiǎn)。

安卓系統(tǒng)有一個(gè)新的bug，這個(gè)bug會(huì)讓黑客進(jìn)行惡意編碼的圖片進(jìn)入系統(tǒng)相冊(cè)，從而攻擊智能手機(jī)。谷歌在2月份發(fā)現(xiàn)了這個(gè)bug，并進(jìn)行了修復(fù)，還發(fā)表了一份關(guān)于這個(gè)bug的安全公告。

然而，值得注意的是，絕大多數(shù)安卓手機(jī)不會(huì)經(jīng)常更新，也不能及時(shí)獲得補(bǔ)丁。

注：【 圖片來源：SecurityIntelligence 所有者：SecurityIntelligence 】

影錘行動(dòng)制霸華碩

雖然智能手機(jī)是惡意軟件的重災(zāi)區(qū)，但是，電腦也深受其害。

前不久，數(shù)十萬臺(tái)華碩電腦在影錘行動(dòng)（ShadowHammer Operation）中遭到攻擊，感染了惡意代碼。隨后，華碩通過安全更新刪除了這段代碼。

然而，本次攻擊并不是由存在安全隱患網(wǎng)站或電子郵件釣魚引起的。相反，攻擊者利用了華碩的實(shí)時(shí)更新工具，并通過華碩的合法代碼簽名證書進(jìn)行了認(rèn)證。他們掃描用戶的MAC地址，一旦確定了目標(biāo)機(jī)器就會(huì)從遠(yuǎn)程服務(wù)器發(fā)起攻擊。影錘行動(dòng)因此一舉成名。

喬治敦大學(xué)法律和計(jì)算機(jī)科學(xué)教授Matt Blaze在《紐約時(shí)報(bào)》的一篇評(píng)論文章中寫道，盡管用戶遭到了攻擊，但是，現(xiàn)在讓軟件不斷更新比以往任何時(shí)候都更重要。

人們可能會(huì)關(guān)閉自動(dòng)更新功能，這樣可能會(huì)錯(cuò)過安裝關(guān)鍵補(bǔ)丁，這會(huì)讓你暴露在更大的危險(xiǎn)中。Blaze補(bǔ)充說，“事實(shí)上，現(xiàn)在是檢查你的設(shè)備，確保自動(dòng)系統(tǒng)更新功能開啟并運(yùn)行的好時(shí)機(jī)?！?/p>

同樣值得注意的是，隨著物聯(lián)網(wǎng)設(shè)備的普及，此類攻擊的可能性大大增加。

束手就擒，還是全面反抗？

我們也許無法輕易預(yù)見惡意軟件將對(duì)移動(dòng)安全造成怎樣的危害，但可以預(yù)見的是，威脅將繼續(xù)上升，新的攻擊手段將層出不窮，移動(dòng)設(shè)備仍是與惡意軟件激戰(zhàn)的戰(zhàn)場(chǎng)。

解決這些問題的重點(diǎn)并不在于加強(qiáng)對(duì)上文所提惡意軟件的防范，而是要理解日益增長(zhǎng)的威脅，并為之做好準(zhǔn)備。以下是一些相關(guān)的策略：

1.保持設(shè)備處于最新狀態(tài)（即自動(dòng)更新）

2.堅(jiān)持使用官方或授權(quán)的應(yīng)用程序商店

雖然文中許多案例出自谷歌官方的應(yīng)用商店，但是，這些應(yīng)用商店一旦發(fā)現(xiàn)威脅，就會(huì)立即刪除。但對(duì)于未經(jīng)授權(quán)的應(yīng)用商店來說，情況就不一樣了。

3.盡量減少安裝的應(yīng)用程序數(shù)量，并青睞信譽(yù)良好的應(yīng)用程序開發(fā)人員

4.采用全面的方法來防范可預(yù)測(cè)，甚至不可預(yù)測(cè)的威脅

5.要知道，一些新威脅只能通過強(qiáng)大AI工具阻止

6.改進(jìn)使用公共WiFi的政策，并妥善管理公共WiFi

沒有人能預(yù)測(cè)新型惡意軟件會(huì)如何滲透到人們使用的移動(dòng)設(shè)備中，但遭到攻擊是極有可能發(fā)生的事情。我們不能再把這些威脅停留在理論上，或認(rèn)為這些問題的解決次于其他工作。是時(shí)候要采取行動(dòng)了。

注：原文作者M(jìn)ike Elgan，由編譯自SecurityIntelligence