Android惡意軟體利用SSL來躲避偵測 

Android 病毒安全套接層協議(SSL)和它的後繼者傳輸層安全協議(TLS)都是設計來提供客戶端和伺服器之間有著安全加密的連線。為了進一步地進行身份驗證和加密,伺服器必須提供憑證。通過這過程,伺服器可以直接有效地證明其身份。

使用 SSL 連線,雙方可以確保通訊的有效性和安全性。這對某些服務來說非常有用,像是網路銀行、電子郵件、社群網路,它們需要建立安全通道來交換客戶端和伺服器間的資訊。

不幸的是,這項技術也成為了兩面刃。Android 惡意軟體現在會利用 SSL 來隱藏自身行為並且逃避偵測。

使用 SSL 伺服器

SSL伺服器已經成為Android惡意軟體的目標。惡意軟體可以使用下列三種之一的伺服器。

1.不知名自行管理伺服器 要使用不知名的自行管理SSL伺服器,惡意軟體作者需要建立自己的TrustManager(可以決定接受憑證)和 SSLSocket讓其惡意應用程式信任該伺服器憑證。建立自己的TrustManager和SSLSocker是必要的,因為惡意軟體伺服器憑證通常並沒有預設包含在Android作業系統中。這樣做通常需要更多的精力:當伺服器或網域變更時(通常是為了應對防毒偵測),SSL連線在驗證過程中可能會失敗。惡意軟體作者必須更新憑證和客戶端應用程式以重新建立連線。此外,使用自行簽發的憑證和固定的伺服器會被資安公司輕易而快速地偵測。所以只有少數惡意軟體利用這種方式也就並不令人驚訝。

2,知名公開網站代管 SSL伺服器 考慮到維護自行管理 SSL 伺服器的困難,利用知名公開網站代管 SSL 伺服器是要方便得多。這些伺服器和網域通常都公開、穩定而且經過授權。它們擁有的憑證通常是經由受信任第三方(TTP)憑證機構(CA)所簽發。在預設情況下,Android OS會信任這些憑證,因為這些 CA 已經被預載到系統預設信任儲存區(truststore)。惡意軟體作者可以偽造身份來將其惡意服務放到這些知名網站代管伺服器上,提供和受感染設備間的加密連線。

比方說,一個被偵測為  AndroidOS_Exprespam.A 的惡意程式在一知名美國網站代管伺服器上建立了惡意後端服務,此代管伺服器提供了RapidSSL CA簽發憑證所進行的HTTPS連線。用此授權憑證,惡意應用程式可以透過HTTPS上傳竊取資料到伺服器上而無需自建TrustManager。

1知名伺服器的憑證

 

 

2資訊透過HTTPS發送到伺服器

3.知名公開服務 Android 惡意軟體還可以利用知名公開服務來進行攻擊。根據我們的分析,有三種應用程式服務經常被Android惡意軟體所利用:基於SSL的電子郵件,Android的Google雲端通訊(GCM)和受歡迎的社群網路。透過知名公開服務,攻擊者可以輕易地發動命令與控制(C&C)攻擊而不會被注意到。

濫用知名公開服務

我們觀察到幾個Android惡意軟體會如上述地利用公開服務:

使用電子郵件 ANDROIDOS_GMUSE.HNT偽裝成檔案管理應用程式。這惡意軟體會竊取使用者和設備資訊,如IMEI、電話號碼和儲存在SD卡中的圖檔。每當使用者啟動應用程式或重啟手機,該應用程式會啟動一背景服務將上述資訊轉儲並使用一寫在程式內的Gmail帳戶和密碼來將資訊發送到特定電子郵件地址。

 

3包含 Gmail 帳號的代碼片段

Google雲端通訊 NDROIDOS_TRAMP.HAT會試圖將自己偽裝成一種官方Google服務。它收集使用者資訊,像是電話號碼、位置和連絡人列表。一旦執行,它會註冊 GCMBroadCastReceiver。惡意應用程式接著會透過Google雲端通訊發送竊取的資料。Google雲端通訊會被用在惡意應用程式的C&C通訊。像是「發送訊息」、「封鎖通話」‘和「取得目前位置」等指令會透過Google雲端通訊來收送。

4惡意軟體使用Google雲端通訊來追蹤當前所在位置

受歡迎的社群網路 – ANDROIDOS_BACKDOORSNSTWT.A會透過Twitter來發動其C&C攻擊。惡意軟體抓取Twitter網址,將截取的資訊結合寫在程式內的字串來產生新的C&C網址用於攻擊。被盜資訊會發送到生成的網址。

5、「this.WILLIAM」包含擷取來的字串

 

SSL的好處也成了它的壞處

網路犯罪份子使用SSL有幾個可能的原因。跟明文傳輸相比,透過SSL發送的資料無法被輕易地發覺。一些基於TCP流量監控的動態分析並無法很好地運作。

網路犯罪分子會針對SSL伺服器和服務也可能是因為他們不需要花費什麼力氣就能夠取得這些網站的存取權限。他們可以透過正常管道進行,比方說向網站代管服務購買虛擬主機或在Twitter上註冊一個新帳號。我們應該會看到更多對SSL的使用(或說是濫用),偵測惡意應用程式可能並不夠。和伺服器及服務供應商合作以刪除相關網址、電子郵件地址等可能是必要的做法。

鑒於Android惡意軟體的不斷發展,我們建議使用者只從合法來源下載Android應用程式。第三方應用程式商店可能並無法一樣嚴格的來掃描可能的惡意應用程式。我們也建議使用者使用趨勢科技安全達人」免費行動防護App來偵測並封鎖可能對行動裝置造成危害的威脅。

 

@原文出處:Android Malware Use SSL for Evasion  作者:Seven Shen(行動威脅分析師)

FB_banner0331-2