经济指标

<p>作者:DeniseGiustoBilićMALWARE在谷歌官方商店中永远不会停止出现对于网络犯罪分子来说,将他们的恶意应用程序偷偷带入真正的应用程序市场是一个巨大的胜利当分析师找到分析恶意软件的新方法时,用户开始了解这一切是如何运作的,网络犯罪分子正在寻找隐藏在手机和危害设备中的新方法用于提高攻击效率的复杂技巧可以分为两个不同的类别:第一,旨在混淆用户的社会工程策略;第二,试图阻止恶意软件检测和分析的复杂技术机制本文总结了过去几年恶意Android代码的一些常见行为•基于社交工程的欺骗•在Play商店中使用欺诈性帐户分发恶意软件恶意软件官方谷歌商店永远不会停止出现对于网络犯罪分子来说,将他们的恶意应用程序偷偷带入真正的应用程序市场是一个巨大的胜利,因为他们可以接触到更多潜在的受害者,因此几乎可以保证更多的感染,更有甚者,假的用于传播不安全或恶意应用程序的开发者帐户试图看起来尽可能与真实帐户相似,以欺骗毫无疑问的用户,他们最终会被他们搞糊涂在最近的一个例子中,研究人员发现了一个假的应用程序,用于更新使用过的WhatsApp一个Unicode字符技巧,给人以通过官方帐户分发的印象•T纪念日期和预定应用程序发布日期的优势网络犯罪世界的一个常见做法是使恶意软件看起来像应用程序的版本 - 大多数游戏 - 已经获得突然普及,计划发布或不在官方提供某些国家的商店这种情况发生在PokémonGO,Prisma和Dubsmash上,在全球范围内增加了成千上万的感染•Tapjacking和overlay windows Tapjacking是一种技术,它通过显示两个叠加的应用来捕获用户的屏幕点击所以受害者认为他们正在点击他们正在看的应用程序,但他们实际上正在点击基础应用程序,它仍然隐藏在视图中另一个类似的策略,在间谍软件中广泛用于Android中的凭据窃取,是覆盖窗口在这个骗局中,恶意软件不断跟踪用户正在使用的应用程序,当它与某个目标应用程序重合时,它会显示自己的对话框t看起来就像合法的应用程序,从用户请求凭据•在系统应用程序之间伪装到目前为止,恶意代码隐藏在设备上的最简单方法是将自己作为系统应用程序自行关闭并尽可能不被注意到诸如医疗事故等安装完成后删除应用程序图标或使用系统应用程序和其他流行应用程序的名称,软件包和图标来破坏设备是在这种银行特洛伊木马代码中出现的策略,这些特洛伊木马程序通过Adobe Flash Player来窃取凭据•模拟系统和安全应用程序以请求管理员权限由于Android的结构限制了应用程序权限,因此许多恶意代码需要请求管理员权限才能正确实现其功能并且授予此权限会使卸载恶意软件变得更加困难被伪装成安全工具或系统更新给网络犯罪分子带来某些好处特别是,它允许他们屏蔽它在受信任的开发人员背后,因此用户会毫不犹豫地授权应用程序访问管理功能•模拟真实数据的安全证书用于签署APK的安全证书也可用于确定应用程序是否已被更改</p><p>网络犯罪分子在颁发证书时使用通用文本字符串,许多人不得不假装与开发人员使用的数据相对应的数据,更进一步努力混淆执行这些检查的用户•使分析复杂化的技术•多个相同代码中的功能近年来在移动世界中不断发展的趋势是将过去不同类型的恶意软件组合成单个可执行文件 LokiBot就是其中的一个例子,它是一种银行特洛伊木马程序,试图尽可能长时间不被注意,以便从设备窃取信息;但是,如果用户试图删除管理员卸载它的权限,它会通过加密设备的文件激活其勒索软件功能隐藏的应用程序使用滴管和下载程序,即将恶意代码嵌入到另一个APK或从互联网下载,这种策略不仅限于笔记本电脑和计算机的恶意软件,而且还被恶意移动代码编写者普遍使用当时众所周知的Google Bouncer(现在更名为Google Play Protect)使网络犯罪分子能够将恶意软件上传到官方商店,攻击者选择包含这种类型的行为,试图绕过控制,它的工作原理!好吧,至少有一段时间!从那时起,这两种形式的恶意软件编码已经被添加到最常用的恶意技术组合中•多种编程语言和易变的代码新的多平台开发框架和新的编程语言一直在出现错误引导恶意软件分析师的方法比结合语言和开发环境,例如使用Xamarin设计应用程序或使用Lua代码执行恶意命令此策略更改可执行文件的最终体系结构,并增加复杂程度一些攻击者通过使用动态脚本加载或部分从远程服务器下载并在使用后删除的代码因此,一旦服务器被网络犯罪分子删除,就无法确切地知道代码在设备上执行了哪些操作具有这些特征的样本在2014年底开始出现,当研究人员发布这种特别复杂的恶意软件分析时•协同恶意软件An复杂分析样本的另一种方法是将恶意功能划分为一组能够相互交互的应用程序通过这样做,每个应用程序都有一部分权限和恶意功能,然后它们相互交互到实现进一步的目的此外,为了让分析师了解恶意软件的真正功能,他们必须能够访问所有单独的应用程序,就好像它们是一块拼图一样</p><p>虽然这不是常用的策略,但已经有样本表现出这种行为,正如Virus Bulletin最近发表的一篇文章所示•隐蔽渠道和新的沟通机制为了与C&C服务器或其他恶意应用程序进行通信,恶意软件需要传输信息这可以通过传统的开放渠道或隐藏渠道完成(个性化通信协议,亮度强度,唤醒锁定,CPU利用率,内存中的可用空间,声音或振动级别以及加速lerometers等等)此外,最近几个月我们已经看到网络犯罪分子如何使用社交网络传输C&C消息,例如Twitoor,使用Twitter帐户发送命令的僵尸网络•其他反分析技术包装的使用,反仿真,反调试,加密和混淆,以及其他逃避技术,在Android恶意软件中非常常见为了绕过这些类型的保护,可以使用挂钩功能,也许通过像Frida这样的应用程序也是可能的默认情况下使用试图躲避这些控件的分析环境,例如MobSF,其中包括一些反仿真技术,Inspeckage,例如,在加密前后可以看到平面文本字符串,以及使用的密钥,