Android是否存在网络注入攻击?

本文讲的是Android是否存在网络注入攻击?

Web注入攻击

MiT-browser (MiTB)

如今大多数人都使用网上银行,而黑客正是利用这个机会,通过发动这种网页代码注入攻击,能够修改被感染用户设备浏览器中的银行主页

MiTB攻击就发生在这个时候,攻击者会诱导你下载木马,一旦你访问特定的银行网站的时候,恶意软件就会使用包括注入恶意DLL,恶意扩展或通过欺骗代理服务器或其他方式往你访问的页面注入更复杂的恶意代码,MiTB会把它自己直接集成到网页上,还能保持原有的域名和SSL设置,看起来和真正的网页一样,然后诱导你输入SSN号、ATM PIN码或是银行路由代码,进而拦截银行发给你的一次性SMS消息,收集你的银行详细信息等,比如对Boletos的攻击就是典型的MiTB攻击。

Belotos是巴西最常见的一种支付账单或购买商品的支付手段(类似于中国的支付宝),甚至被政府机构采用。它是巴西市场上一种独特的现象。Boleto是一种特殊的纸质文书,上面包含一个条形码和一串特殊的44位ID代码。用户在使用Beletos购买商品或支付服务时会将该凭证打印出来,接着通过银行、ATM机或在线银行账户扫描条形码或输入ID代码,之后通过现金或数字支付完成交易。每张Boleto的条形码和44位ID代码均不相同,赋予Boleto不同的购买范围,以免出现任何差错。

欺诈过程:大多数在线服务会自动发行Boletos,这种文书及其支付凭证会在用户设备的浏览器中生成。而网络罪犯就是在这一环节介入的。他们会使用多种恶意手段,偷偷更改支付凭证。尤其会更改条形码和ID代码,将支付重定向到不同的银行账户。大多数用户在意识到支付被更改时,已为时已晚。所以,其欺诈过程为:受害者在不知情的情况下,将钱支付给欺诈者的银行账户,而受害者还以为自己进行了正常的购买和支付。

网络罪犯使用的恶意技术. 巴西的网络罪犯会使用大量不同的恶意技术引诱受害者落入Boletos欺诈的圈套。卡巴斯基实验室检测到的最早的案例发生于2013年4月。在这次攻击中,网络罪犯使用木马在受害者的浏览器中注入恶意代码。其攻击原理与知名的SpyEye银行木马相同。

网络罪犯甚至可以使用SSL加密,攻击Boletos的发行服务。卡巴斯基实验室分析的一款恶意软件中使用了一种名为Fiddler的网络调试代理工具。有些Boleto恶意软件使用这种工具拦截SSL通讯,或发动中间人攻击,甚至在Boletos在HTTPS页面生成时,就做了更改。

在另一起攻击案例中,巴西的网络欺诈者借用了加密恶意软件有效负载的技术手段,而这一技术最早被ZeuS/Gameover的开发者所使用。通过使用加密的有效负载,能够让网络罪犯有效地绕过防火墙、网页过滤器、网络入侵检测系统和其他可能存在的防御措施。在这项技术中,网络罪犯会使用一款小体积的木马下载加密文件,之后解密这些文件,完成感染。

此外,还有人发现网络罪犯会使用针对Chrome浏览器的恶意扩展,而且是通过官方Chrome网上应用商店成功进行传播。另外针对Firefox的扩展同样也被使用。

MiTB攻击的目的不同于在社交网络或流行网站上利用广告来吸引用户从而窃取用户的账户信息,它的作案方式更像是Lurk银行木马。

Lurk木马是一种复杂的、通用的、多模块的多功能恶意软件,能够获取受害者计算机的访问权限。Lurk木马非常独特,它的恶意代码不会存储在受害者的计算机中,而是在随机访问存储器(RAM)中。

同时,在俄罗斯,黑客使用MiTB攻击的机会正在减少,因为网络犯罪分子正在选择其他方法和攻击载体来攻击银行用户。根据目前的网络犯罪趋势,使用现成的恶意攻击工具比新开发和实施网络注入工具要容易得多。

尽管如此,我们还是要讨论一下是否有针对Android设备的网络注入攻击?

Android上的Web注入

尽管术语“注入”被用于移动银行木马(有时也被网络犯罪分子用来评价他们的数据窃取技术),但Android恶意软件是一个完全不同的世界。为了在Android环境中实现和计算机上的网络注入工具所带来的相同攻击效果,移动木马的开发者使用一种完全不同的攻击技术:用网络钓鱼窗口覆盖其他应用,并将用户从银行网页重定向到特制网络钓鱼页面。

使用网上诱骗窗口覆盖正常应用窗口

这是最流行的诱骗技术了,几乎所有银行木马都在使用这一招。 2013年, 卡巴斯基实验室第一次遇到一个恶意软件覆盖其他应用程序与其网络钓鱼窗口,这就是Trojan-Banker.AndroidOS.Svpeng。

这款木马之所以危险,不仅是因为它能获取银行登录凭证,还因为它可以拦截并删除银行发送的短信息,此外还假冒银行给用户发送信息。通常情况下,当可疑操作被发现时,银行会给用户发送提醒和通知,但该恶意软件有能力删除此类信息。

除此之外,大多数银行有网上银行交易的安全协议,要求用户验证通过短信息收到的交易码。这种情况下,这款恶意软件可以拦截银行发送的信息,从而给潜在黑客提供需要的所有信息,进行欺诈交易。

今天的移动银行木马经常将自己隐藏在Google Play商店中的其他应用程序中,这是为了窃取用户的银行卡详细信息。

除此之外,这些木马还经常覆盖各种社交媒体和即时通讯应用程序窃取用户的账号和密码。

然而,移动银行木马还是对金融应用程序,主要是银行应用程序最感兴趣。

目前总共有三种针对移动操作系统的MiTB攻击方法:

1.一个特殊的木马窗口(比如假冒的银行窗口),由网络罪犯预先制作,用于覆盖另一个应用程序的窗口。这类木马就会用自己的界面将原有银行app界面整个覆盖掉。只要用户输入登录凭证,恶意软件立即窃取相关的信息。

尤其小心那些要求获得访问短信权限的app,比如Acecard家族的移动银行木马就能模仿超过30种银行app或依照命令覆盖任何app的操作界面。

并可以按照C&C服务器命令覆盖任何应用程序。

#Android trump card: Acecard https://t.co/yHxyACMslU #bankingpic.twitter.com/DmnUAOJvSM
— Kaspersky Lab (@kaspersky) February 22, 2016

2.通过网络钓鱼的方式获取用户的管理权限,比如Marcher家族的木马,原本Marcher只通过假冒的Amazon及Google Play Store app来诱骗用户,但后来研究人员发现Marcher已经可以假冒Android软件的更新方式,它在用户安装Firmware_Update.apk时,欺骗用户说有漏洞,然后要求用户尽快安装升级该应用。而在安装时,Marcher会要求用户修改他们的管理权限。

3.从恶意服务器下载模板页面,向其中添加要攻击应用程序的图标和名称。比如Faketoken木马,这个木马被卡巴斯基发现并命名为。顾名思义,该木马的主要特征是能够生成2000多个金融应用的虚假登录屏幕,从而窃取登录凭证。Faketoken还能够通过向受害者显示钓鱼页面,以窃取信用卡信息。

研究人员注意到,Faketoken木马新版本集成文件加密功能,Faketoken的文件加密功能是在2016年7月以后开始出现的,并且已发布数千个包含新功能的版本。卡巴斯基在博文中表示:“我们已成功检测到数千个能够加密数据的Faketoken安装包,最早的一个可追溯至2016年7月。

“Trojan-Banker.AndroidOS.Faketoken伪装成各种程序和游戏,常常模仿Adobe Flash Player。”

研究人员确认称,受害者人数超过16000名用户。他们监测到了在27个国家的感染,大部分位于俄罗斯、乌克兰、德国和泰国。

应该注意的是,从Android 6开始,为了达到攻击目的,FakeToken木马还必须诱骗用户允许它们使用各种管理权限。

随着新版本的Android越来越受欢迎,越来越多的移动银行木马开始需要请求这样管理权限。

将用户从银行的页面重新定向到网上诱骗页面

目前,卡巴斯基实验室只在Trojan-Banker.AndroidOS.Marcher家族中发现使用了这种技术。据估计,将用户重定向到网上诱骗页面的最早版本应该不早于2016年4月,而最新版本也是2016年11月发布的。

将用户从移动银行的页面重诱骗到网上的过程如下:

首先,Trojan-Banker.AndroidOS.Marcher会修改浏览器书签,其中包括当前打开的页面。这样Trojan-Banker.AndroidOS.Marcher就会知道哪个网页是当前打开的,如果这个页面恰好是攻击目标网页之一,Trojan-Banker.AndroidOS.Marcher就会在同一浏览器中打开相应的仿冒页面,并将用户重定向到那里。目前卡巴斯基实验室已经找到Marcher家族特的100个仿冒页面。

不过在这里,需要注意两点:

1.卡巴斯基实验室能够检测到的Marcher木马,目前已经不再使用此技术。

2.使用这种技术修改的最总目的也是要用钓鱼的方法覆盖其他应用程序。

为什么是将用户从银行的页面重新定向到网上诱骗页面使用率会这么低呢?

1.在Android 6及更高版本中,此技术不再有效,这意味着潜在受害者的数量每天都在减少。例如,使用卡巴斯基实验室移动安全解决方案的用户中,大约30%的用户已经了使用Android 6或更高版本;

2.该技术只适用于有限数量的移动浏览器;

3.用户可以很容易地发现他们正被重定向到网络钓鱼站点,并且他们还可以注意到网页的URL已经改变。

使用root权限启动攻击

如果木马获得了用户的各种权限,那就可以执行任何攻击,包括的恶意注入到浏览器。虽然卡巴斯基实验室目前还无法找到这样一个案例,但已经有一些木马开始尝试这样做了:

1. Backdoor.AndroidOS.Triada,Backdoor.AndroidOS.Triada的一些模块可以替换浏览器中的某些功能,获取用户权限。Triada被下载后,Triada的一些模块会从磁盘中移除,仅保存在内存中,这极大地增加了检测和删除它的困难度。为了在用户设备和其他应用中隐藏各个运行过程,该木马策略性地替代了安卓的返回运行资源列表的功能,安装/运行安装包的安装。专家强调说,这一方案中的恶意模块可被用于执行root权限盗用。

2.Trojan-Banker.AndroidOS.Tordow.a,该恶意软件家族已经开始在四处制造受害者了。他们会感染智能手机,并深度隐藏在设备中,最后窃取用户敏感信息,然后上传至恶意软件开发者服务器上。这一恶意软件家族是在2016年的2月首次出现,当时感染用户的方式主要是通过安卓第三方应用市场。此木马能够偷取联系人信息,打电话,发送,偷取并删除短信。还能下载并在设备上运行文件、安装或卸载应用、屏蔽对于一些特别网页的访问、重命名设备上的文件、将文件上传到某一在线服务器以及重启手机。

总结

Triada和Tordow的例子表明,随着网络攻击者掌握的专业知识越来越多,类似的高复杂性攻击在未来肯定会常态,但是这些木马的创新也是要耗费大量人力和资金的,所以使用一般的钓鱼窗口这样简单而经济的方式会是网络攻击者常用的诈骗选择。我们可以说,就目前的技术能力,针对移动银行的恶意网络注入仍是一个相当昂贵的网络攻击。

建议

虽然我们无法及时掌握最新的黑客攻击技术并作出及时的防护,但这并不意味着我们束手就擒,从以上的分析中,我们可以看出,随着Android版本的提高,未来的攻击会需要大家给予木马们更多的权限,所以大家在安装或升级任何软件时一定要看看是不是需要允许那么的权限,一句话,看好自己的权限,以不变应万变,其次下载应用时,一定要在正规的应用商店下载。

原文发布时间为:2017年1月21日

本文作者:xiaohui

本文来自合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

原文链接

时间: 2024-10-24 18:22:30

Android是否存在网络注入攻击?的相关文章

稳捷网络保护网站远离SQL注入攻击

一个被命名为LizaMoon的(SQL Injection)SQL注入攻击席卷全球,许 多网站遭受攻击,网页内容中被塞了lizamoon字串,疑似挂马链接,透过Google查询 lizamoon. com关键词,被稙入恶意链接的URL数在 两天内由28,000个急速增加到380,000个,甚至苹果的iTune网站也名列其中--对此,稳捷网络公司大中国区总经理彭朝晖先生表示,稳捷网络公司一直关注类似的SQL注入与黑客攻击事件.此次LizaMoon攻击利用了一个很巧妙的SQL注入,导致全球5万中文网

SQL注入攻击:防御和检查SQL注入的手段

虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施.知彼知己,方可取胜.首先要清楚SQL注入攻击有哪些种类. 观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的.虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施. SQL注入攻击的种类 知彼知己,方可取胜.首先要清楚SQL注入攻击有哪些种类. 1.没有正确过滤转义字符 在用户的输入没有为转义字符过滤

在ASP.NET中防止注入攻击[翻译]

asp.net|攻击 出处: MSDN翻译:云中城 BLOG 应用范围: ASP.NET vertion 1.1 ASP.NET vertion 2.0   概要: 文本主要介绍如何校验用户输入从而防止注入式攻击.校验用户输入是非常必要的,几乎所有程序级的攻击都包含恶意输入的手段. 你应该校验包括字段,查询字串参数,Cookie等一切用户输入项来保护你的程序免受注入攻击.你得假设所有的用户输入都是恶意的,确保在服务器端对所有的用户输入进行校验.使用基于客户端的验证可以减少页面的住返次数,改进性能

在ASP.NET中防止注入攻击

asp.net|攻击 目的: 对输入的字串长度,范围,格式和类型进行约束. 在开发ASP.NET程序时使用请求验证防止注入攻击. 使用ASP.NET验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式防止注入攻击. 防止错误的详细信息被返回到客户端. 概述 : 你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查询字串,客户端cookies和浏览器环境值比如用户代理字串和IP地址等. 弱输入校验通常为注入攻击提供了机会.下面是常

对流量注入攻击模式的探讨

前言: 黑客入侵的目标一般分为两种:一是获取系统的控制权,远程监控或"指挥"你的系统:二是盗取你的秘密信息:在未完成目标前,黑客都需要"无声无痕",入侵时隐秘的,不能让拥护发现的.入侵不等同于攻击,而入侵常常是攻击的前期工作. 常用的口令破解.缓冲区溢出等是直接入侵的方式,流量注入是通过在你系统合法的进出流量中插入信息,获取入侵的机会:这种方式隐藏于你正常的网络流量内,有很强的隐蔽性,插入的可以是带有木马的漂亮图片,可以是正常选择按钮后启动的特殊代码,也可以诱导你的

如何保证SQL Server免遭SQL注入攻击

SQL注入攻击可能是黑客攻击面向互联网的SQL Server数据库最常用的方式.任何使用动态SQL.允许未经检验的用户输入提交到数据库的应用程序都面临SQL注入攻击的风险,无论你的网络有多安全,或者你安装了多少防火墙.最近有一项关于Web黑客攻击的报告显示,SQL注入攻击呈上升趋势,不仅仅导致数据盗窃和数据丢失,而且在最近一连串的自动注入攻击中,数据库被破坏,向用户提供恶意Java脚本.这种渗透导致Web服务器令客户端电脑感染上其它的病毒.报告对于已经遭到攻击的网站数量统计不一,不过,哪怕是最低

注入攻击-SQL注入和代码注入

注入攻击 OWASP将注入攻击和跨站脚本攻击(XSS)列入网络应用程序十大常见安全风险.实际上,它们会一起出现,因为 XSS 攻击依赖于注入攻击的成功.虽然这是最明显的组合关系,但是注入攻击带来的不仅仅是 XSS. 注入攻击代指一类攻击,它们通过注入数据到一个网络应用程序以期获得执行,亦或是通过非预期的一个方式来执行恶意数据.这种类别的攻击包括跨站脚本攻击(XSS).SQL 注入攻击.头部注入攻击.日志注入攻击和全路径暴露.当然限于篇幅,这里只是一个简单的介绍. 这类攻击是每个程序员的梦魇.它们

ASP+SQL Server SQL 注入攻击测试用例

SQL注入攻击测试用例 说明 Night-- Night' and 1=1-- Night' and 1=2-- 判断是否存在注入漏洞.SQL Server中的行注释符号为"--" URL;and user>0-- User 是SQL Server的一个内置变量,它的值是当前连接的用户名,数据类型为nvarchar.它的值是当前连接的用户名,数据类型为nvarchar.用nvarchar类型与int类型比较会引起错误,而SQL Server在返回的错误信息中往往会暴露出user的

防止SQL语句注入攻击总结

-----解决方案-------------------------------------------------------- 过滤URL中的一些特殊字符,动态SQL语句使用PrepareStatement.. ------解决方案-------------------------------------------------------- 注入的方式就是在查询条件里加入SQL字符串. 可以检查一下提交的查询参数里是否包含SQL,但通常这样无益. 最好的办法是不要用拼接SQL字符串,可以用