即時通行動應用現在正進入了戰國時代,爭取著成為下一個人們最常用來通訊的方式。拿日本當例子,Line和 KakaoTalk 這兩個受歡迎的聊天應用程式都號稱在日本擁有上億的使用者。
所以當網路犯罪份子利用這些應用程式的名字來攻擊也就不令人驚訝了。在這篇文章裡,我們會介紹 KakaoTalk 如何成為攻擊者的目標。(不過,我們也要先聲明,KakaoTalk並不是唯一被針對的品牌,其他品牌和應用程式也同樣會是目標)。使用者需要了解這些惡意應用程式所帶來的威脅。
第一個例子:木馬化的應用程式
一種產生惡意應用程式的常見方式就是取得正常版本的應用程式,再加入惡意程式碼。這樣就製造出一個木馬化的應用程式,而對使用者來說,看起來是正常的。然而,它實際上包含了惡意程式碼。
這隻木馬化版本的KakaoTalk被偵測為ANDROIDOS_ANALITYFTP.A,並且會經由電子郵件散播。如果有人檢查這應用程式的詳細資訊,就會發現正常應用程式和這修改過版本間的差異:
表一:正常版本和木馬化版本間的差異
此外,當我們檢查應用程式所用的權限時,值得注意的是,木馬化的應用程式會要求比正常應用程式更多的權限。
圖一:「ANDROIDOS_ANALITYFTP.A」所要求的權限
ANDROIDOS_ANALITYFTP.A似乎是個被竊聽者所使用的木馬化應用程式。這應用程式會定期地發送聯絡人資料、簡訊和一些手機設定到一個命令和控制(C&C)伺服器,好讓攻擊者可以取得。
要將應用程式木馬化的程序比較容易,因為大多數Android應用程式是用Java程式語言編寫。除非有特別加以混淆,任何Java應用程式的原始碼相對來說都比較容易取得。接著,攻擊者就可以加入或修改程式碼,好將惡意行為加入到應用程式裡。
第二個例子:假應用程式
除了木馬化應用程式之外,在一個月前,也有假應用程式冒用KakaoTalk的名字。KakaoTalk透過他們的官方Twitter帳號來警告使用者關於一個「KakaoTalk安全外掛程式」:
圖二:來自KakaoTalk的Twitter警告
我們將這假安全程式偵測為ANDROIDOS_FAKEKKAO.A。許多使用者成為這詭計的犧牲品,並不只是因為它利用KakaoTalk這品牌,還因為它在名稱中加入「安全」二字。
這個惡意應用程式安裝後會做什麼呢?它會讀取使用者的聯絡人,並利用手機的簡訊功能來對所有聯絡人發送簡訊。正因為如此,它很容易被使用者發現自己的手機出了問題。
而這假應用程式最特別的是它所散播的方式。攻擊者利用一個被駭的 Google Play 開發者帳號來散播一個重新導向應用程式:
圖三:重新導向應用程式
這個重新導向應用程式包含了會導向各種應用程式的廣告。其中包括了這個假安全外掛程式。透過這種作法,攻擊者試圖避開類似Google所整合的Bouncer服務之類的掃描程式。
最佳實作
防止這類威脅最好的辦法就是避免從Google Play以外來源下載應用程式,這是我們之前談到最近的Android安全漏洞時所提到的建議。來自Google Play以外應用程式商店的應用程式常常會對Android設備帶來安全性的問題。但即便這樣做,使用者還是樣檢查他們所下載應用程式的開發人員以及相關評論,以確認自己是否下載的是正常的應用程式。
設備上的安全解決方案(像是趨勢科技的行動安全防護)甚至可以偵測來自授權應用程式商店外的威脅,提供更多一層的防護。
在此同時,開發人員也需要認真思考自己的應用程式被木馬化而用在惡意用途的可能性。他們需要考慮加入必要的防禦:混淆程式碼(讓他們的應用程式更難被分析和木馬化)和程式碼完整性監測(確保當應用程式程式碼被修改和執行時會發出警告)。此外,如果應用程式可以建立起將敏感資訊放在線上處理的方式,那麼竊取資訊就會變得更加困難,這也有助於讓應用程式更加安全和更能抵抗這類攻擊。
@原文出處:KakaoTalk Targeted By Fake and Trojanized Apps 作者:Noriaki Hayashi(資深威脅研究員)