SOPHOS 2014安全威胁报告之Android系统的恶意软件

继Windows首先被攻击以来,针对Android系统的恶意软件也在不断发展和演变。但保障Android系统平台安全的措施也取得了进步。

自从2010年8月我们首次检测到Android恶意软件以来,我们已经记录了超过300个恶意软件品种。而且我们发现很多Android恶意软件生态系统都是多年前Windows恶意软件路线的延续。

规避检测和清除的手段更加复杂化

最近我们发现Android恶意软件用来规避检测和清除的手段和花样不断翻新。 Ginmaster就是个很好的例子。自从2011年8月首次在中国被发现以来,这个木马病毒程序被注入到很多合法的应用程序中,通过第三方市场传播了出去。

2012年,Ginmaster开始通过混淆类名,加密URL和C&C指令,采用在Windows恶意软件中已经司空见惯的多态技术等方式来躲避侦测。2013年,Ginmaster的制造者采用了更加复杂和微妙的类名混淆和加密,使得恶意软件更加难以被侦测或反向编译。同时自2012年年初的每个季度以来,我们已经看到对Ginmaster的侦测在稳定增长,从2013年2月到4月期间已经有超过4,700个样本。

新兴的Android僵尸网络

最近,有报道称一个大型僵尸网络采用与僵尸网络控制个人电脑大致相同的方式控制了Android设备。这个被Sophos侦测到Andr / GGSmart –A的僵尸网络迄今似乎仅限于发生在中国。它采用集中指挥和控制的方式指令所有被感染的移动设备,举例来说,向被感染设备发送中奖的SMS消息,来吸取设备所有者的费用。与典型的Android攻击不同,它可以更改和控制中奖短消息的条数和内容,甚至在整个庞大的网络中批量发送。这使得它比我们所见过的大部分Android恶意软件更具组织性和危险性。

来自Android的勒索

勒索攻击自25年前被侦测到首个版本以来,走过了一个漫长而肮脏的历程。对于那些不熟悉它的用户来说,勒索攻击使得用户的文件或设备无法访问,然后要求用户支付赎金来恢复访问。 2013年6月,Sophos公司的研究人员Rowland Yu发现了首个针对Android设备的勒索软件攻击。这个名为Android Defender的假冒防病毒软件的勒索应用程序需要用户支付99.99美元才能恢复对自己Android设备的访问。

Android Defender启动时会启用多种社交引擎手段和不同寻常的专业感知来反复寻求突破设备管理员的权限。如果取得授权,它可以限制对所有其他应用程序的访问,使其无法拨打电话,更改设置,取消任务,卸载应用程序,甚至是重设出厂设置。无论用户在做什么,它都会在屏幕上出现关于感染的警告信息。它甚至可以禁用返回/主页按钮,并通过重启运行来阻止删除。它唯一不会做的的事情就是加密你的内容或个人数据。坦白的说,如果明年的威胁报告中没有报道加密攻击那真是让人意外了。

通过智能手机付款时,银行帐号被盗

2013年9月,我们检测到一种新形式的银行恶意软件,这种恶意软件结合了传统的Windows浏览器攻击和针对威胁Android设备而设计的社会工程方法,通过智能手机来完成对银行账户的盗窃。这种恶意软件有时也被称为Qadars,我们侦测它为Andr/Spy-ABN。虽然我们目前遇到的这个恶意软件还处在相对低级的水平,但法国,荷兰和印度的金融机构已经成为它锁定的目标。

2013年10月发布,被检测到的,传播最广泛的Android恶意软件

虽然还没有那一个Android恶意软件品种目前占据主导地位,但目前检测到的,应用最广泛的Android恶意软件是Andr/ BBridge-A。该木马使用权限提升漏洞在你的设备上安装额外的恶意应用程序。Andr/ BBridge-A已经证明了其真正的持久力,在我们2012年6月发布的Android病毒感染名单上位列第二。

像它的前身Zeus一样,Andr/Spy-ABN也是发源于Windows系统,将代码注入到Internet Explorer浏览器中,在用户信息被加密和转发到金融机构之前将其拦截。它还能捕捉浏览器的个人证书和cookies。

一旦通过验证,用户就会被告知,他们的银行现在需要使用一个新的智能手机应用程序作为反欺诈措施(多么具有讽刺意味)。用户会被问及电话号码和型号并要求发送短信,继而被链接到一个下载的恶意程序上。如果这还不够糟糕,那还有更糟的,注入的代码甚至可以阻止用户访问他们的帐户,直到智能手机的恶意软件安装成功,并提供一个激活码为止。

保卫Android

我们很高兴的是谷歌公司近几个月已经采取了一系列显著措施,来进一步保护Android平台。首先,Android 4.3去除了以前版本中存在的应用程序自动下载功能。其次,谷歌已经收紧了应用程序开发商协议,特别是涉及到可能无用的应用程序(PUA),虽然这些并不是显而易见的恶意软件,但表现往往比大多数用户想象的更具侵略性。

谷歌公司已经确定将明令禁止几款应用程序和框架广告的行为。举例来说,应用程序开发人员再也不能在主屏幕上放置第三方的广告和链接,更改浏览器主页,或者故意使用与有用功能无关的系统通知。

黑客攻击移动设备的剖析图解:一个黑客如何从你的手机中获利

你的Android智能手机可能会看起来无辜。但是当它被恶意软件感染后,就可以非法偷窥和模仿你,参与危险的僵尸
网络活动,采集你的个人数据,甚至窃取你的金钱。

时间: 2024-10-03 06:18:24

SOPHOS 2014安全威胁报告之Android系统的恶意软件的相关文章

SOPHOS 2014安全威胁报告之Linux操作系统

linux成为目标平台是因为Linux服务器在网站运行和Web内容传递中应用非常广泛尽管针对Linux操作系统的恶意软件相较Windows或Android系统的数量而言还比较少,但我们看到恶意软件的可执行文件和脚本攻击的势头却是源源不断.此外,我们还检测到大量针对独立http://www.aliyun.com/zixun/aggregation/18022.html">平台设计但往往在Linux服务器上运行的服务发动攻击的样本. 出于多种原因,基于Linux的Web服务器已经成为希望将流量

SOPHOS 2014安全趋势报告之Mac OS X

虽然今年我们还没有看到针对Mac OS X的高调攻击,但我们确实检测到了持续性而且新型的的袭击,这都需要明智的Mac用户提高警惕. 尽管我们还没有看到堪比2012年Flashbck那样庞大的全球性攻击,但针对Mac OS X平台的攻击在2013年继续蔓延.我们看到Mac攻击的类型包括木马,针对Java平台缺陷和Microsoft Word文档格式的攻击,咄咄逼人的浏览器插件,恶意的JavaScript和Python脚本,获得Apple Developer ID数字认证的恶意软件可以通过苹果公司的

SOPHOS 2014安全威胁趋势报告之Windows未打补丁风险

从2014年4月开始就不会再发布用于 Windows XP 和 Office 2003 的新补丁.给Windows打补丁将成为诸如POS机和医疗设备等专业市场必须重视的问题. Android和web最近受到了很高的关注.几乎让人遗忘了还有十亿以上的电脑仍在运行Windows系统.虽然微软自动更新工具持续对这些系统打补丁和更新,但令人担忧的差距依然存在.在本节中,我们将重点关注三个方面:微软即将放弃对Windows XP和Office 2003的支持,未打补丁的(POS)系统,针对运行不同版本未打

SOPHOS 2014安全威胁趋势报告之Sophos实验室:网络攻击侦测的领先者

随着恶意软件攻击变得越来越复杂和难以捉摸,安全公司必须以更高的智慧,灵活性和速度加以应对.这也是SophosLabs不断努力的目标. 曾几何时,防病毒软件公司的注意力主要集中在识别与恶意软件相关的签名上.然后攻击者发动多态攻击在每台被感染的计算机上生成恶意软件的唯一版本,从而使得静态检测的效果大打折扣.一些多态攻击很容易规避.举例来说,电子邮件过滤基本可以预防通过电子邮件附件方式传送的攻击.但是就当下而言最危险的攻击都是由分布在整个网络中的复杂攻击链组件组成的.从今年的报告来看,他们已经采用了h

SOPHOS 2014安全威胁趋势报告之针对金融账户的威胁

我们看到越来越多的持续性的,有针对性的攻击,目的在破坏金融账户. 虽然我们还没有统计出数量上的明显增加,不过Sophos实验室通过长期的观察发现,特定具体的企业或机构似乎已经成为更持久的攻击目标,包括那些之前从未成为首选目标的企业用户.这些攻击的目的旨在破坏存在风险的金融账户,说明以前以传统方式窃取货币的网络罪犯已经将兴趣转移到高级持续性威胁(APT)的攻击上. 披着羊皮的狼:Plugx,Blame和Simbot 一些有针对性的攻击试图伪装成合法的应用程序.特别是我们看到危险的证书窃取攻击,使用

SOPHOS 2014安全威胁趋势报告之基于Web的恶意软件

2013年,Web服务器攻击和开发工具包演变的更加危险和难以侦测,从而导致针对存在风险的Web客户端的偷渡式攻击越发猖獗. 正如我们上面在Linux恶意软件的论述中简要提到的,我们已经看到伪装的恶意Apach e模块式攻击明显增加;这些模块,一旦在存在漏洞的合法网站上安装成功,就会通过Web浏览器发动动态攻击. Darkleech攻击web服务器 今年最引人注目的例子就是Dark leech,据报告统计到2013年5月它已经成功的破坏了40,000域名和网站的IP地址,其中有一个月破坏的数量就达

SOPHOS 2014安全威胁报告之僵尸网络

僵尸网络的规模和隐蔽性不断扩大 在过去的一年中,僵尸网络已经变得更加泛滥,更具灵活性和伪装性,而且他们似乎发现了一些危险的新目标. 僵尸网络的源代码历来都被其所有者严密保护着.即使网络犯罪分子选择退出僵尸网络,他们往往也会以高价出售他们的代码.但近年来,活跃的僵尸网络源代码已经泄露.这使得模仿者会去创建他们自己的新僵尸网络,然后以原始编码者万万没有想到的方式大行其道.举例来说,几年前泄露的Zeus源代码被其他人利用开发出GAMEOVER,它取代了Zeus源代码传统上与被感染设备的一个对等网络链接

SOPHOS 2014安全威胁趋势报告之垃圾邮件重新包装

年复一年的http://www.aliyun.com/zixun/aggregation/12915.html">垃圾邮件,它不再光鲜亮丽,但安全风险却永远不会消失. 只要人们还发送电子邮件,网络犯罪分子就不会停止发送垃圾邮件.一些垃圾邮件仅仅是烦人,但某些类型的垃圾邮件会链接到我们大多数人都可能忽视的金融骗局上.一些垃圾邮件会链接到非常危险的恶意软件上. 垃圾邮件发送者使用的某些战术似乎从未消失.举例来说,基于图像的垃圾邮件(卖假劳力士手表的尝试依然是常年存在的垃圾邮件):链接到当前新闻

eclipse-个人app在android系统里面编译的时候报错

问题描述 个人app在android系统里面编译的时候报错 Error: Can't read proguard.ClassPathEntry@53ef9f1d) make[1]: *** [out/target/common/obj/APPS/Netants_intermediates/proguard.classes.jar] Error 1 描述:自己编写的app,工程名为Netants,在eclipse下能正常运行,但是放进android系统里面编译就会出错.各位大神求指点 解决方案 在