自2011年底,Android惡意軟體的數量就開始呈現爆炸性的成長。為了讓惡意應用程式消失於官方的Android應用程式商店(現在稱為Google Play),Google在今年二月推出了一個代號為Bouncer的安全服務。
Bouncer會默默地利用它的信譽評比引擎和雲端架構來自動掃描Google Play內的應用程式(包括新上傳和之前的)和開發者帳號。根據Google表示,Bouncer可以讓應用程式商店內的惡意應用程式數量下降40%。
研究人員發現,Bouncer可以被識別特徵
最近有兩名安全研究人員報告說,Bouncer可以被識別特徵。為了證明這點,他們提交了包含shell code的Android應用程式,讓他們可以在提交的應用程式被分析後,好好觀察Bouncer。這程式碼還會連回研究人員的電腦(phone home)。研究人員已經知道了Bouncer運行環境的部分細節。關於Google Bouncer的部分有趣發現如:
- Bouncer所使用的模擬器是QUME(模擬硬體平台的軟體)。
- Bouncer所有的虛擬手機都用同一個帳號,而且模擬設備上有一個聯絡人和兩張照片。
- Bouncer只用五分鐘檢查提交的應用程式。
- Bouncer只進行動態分析。這表示應用程式只有在Bouncer運行時做壞事才會被抓到。
- Google分配給Bouncer的IP地址範圍顯示被分析的應用程式測試時可以連上網際網路。
Android使用者會遭遇什麼類型的威脅?
現在我們知道Bouncer可以輕易地做特徵識別,不難想像惡意Android應用程式可以利用這一點來對運作中的Bouncer偽裝成合法的應用程式,以繞過Google的安全檢查,進入Google Play,最後進入到使用者的行動裝置內。以下是可能的攻擊方式:
- 延遲攻擊:被提交的應用程式可以包含惡意程式碼,但在Bouncer上執行時行為正常。一旦進入到使用者設備再開始執行惡意程式碼。
- 更新攻擊:一開始的應用程式裡並不需要包含惡意程式碼。在這情況下,應用程式更容易躲避Bouncer的檢測。一旦應用程式通過Bouncer的檢查並安裝到真實使用者的行動裝置上後,應用程式可以下載額外的惡意程式碼來執行或連到遠端控制和命令(C&C)伺服器來上傳竊取的資料或接受進一步的指令。就在這個月,另外兩個假應用程式成功地利用這種技術躲過Bouncer並進入Google Play,在那裡存活了兩個星期。(我們將這些應用程式偵測為ANDROIDOS_TROJDOWNLOADER.A和ANDROIDOS_TROJSMS.A。)
另一組研究人員正計劃在本月晚些時候,在BlackHat上提出另一種技術。目前還沒有關於他們的研究細節。
只有你可以保護自己
根據報導,Google已經在研究人員聯繫他們後改變了Bouncer的一些特性。然而,今天的惡意軟體發展迅速,惡意軟體作者總能找到新方法來逃過安全檢查。
我們在這裡學到的是,儘管Bouncer阻止了許多惡意的Android應用程式進入Google Play,但它是可以被繞過的。儘管Google有能力遠端從使用者的行動裝置上刪除已安裝的應用程式。但最好還是在惡意軟體進入到使用者的行動裝置前就先阻止它。
Android使用者在下載和安裝應用程式時,都必須要小心可能的危險。能夠在行動裝置上安裝有效的行動安全產品(如趨勢科技行動安全防護for Android中文版)來提供額外的保護是個好的作法。趨勢科技行動安全防護 採用趨勢科技的雲端行動應用程式信譽評比技術,提供使用者更好、更快的保護。趨勢科技行動安全防護並不只掃描已經安裝在設備上的惡意程式,也可以防止惡意應用程式被安裝。
想了解更多關於如何從保護自己免於這些Android的威脅,可以參考我們的數位生活電子指南:
@原文出處:A Look at Google Bouncer作者:Oliva Hou(產品經理)
@延伸閱讀
- Android裝置上的七種惡意軟體類型與排行
- Android上的間諜軟體測試版會竊取簡訊
- 哪一種行動作業系統最合適企業?
- [圖文解說]旅行中誰吸乾了你的智慧型手機電力?
- 偽裝成Android Flash Player假應用程式,下載後簡訊費暴增
- 你曾下載過這些嗎?煩人廣告事小,追蹤位置,手機被竊聽才頭大,逾七十萬人次被駭
- 你沒被告知的手機應用程式與資料外洩
手機防毒不可不知(蘋果動新聞 有影片)
@開箱文與評測報告
◎ 歡迎加入趨勢科技社群網站