在2013年,Android的惡意軟體不僅僅是在成長,而且還變成全面性的威脅情勢。不僅是威脅數量上的增加,這些威脅的複雜性和能力也都更加提升。
哪些 2013 年的手機平板等行動裝置惡意程式會繼續向2014 邁進?
正如趨勢科技以前所提過的,行動惡意軟體威脅數量已經跨越了一百萬大關,到了2013年底,已經有近140萬的惡意和高風險應用程式出現。我們相信到了2014年底,這個數字將會超過300萬。
圖一、惡意和高風險應用程式數量
不僅有更多威脅出現,這些威脅也變得更加多樣化。行動平台上的網路犯罪內容不再只是加值服務濫用而已,具備某些資料竊取能力的手機惡意軟體比例也從2013年初的17%成長到了年底的近四分之一。整體而言,行動惡意軟體約有五分之一具備某種形式的資料竊取功能。
圖二、行動惡意軟體威脅類型分佈
趨勢科技全球安全研究副總裁 Rik Ferguson
有兩個和Google Android作業系統有關的消息吸引了我的注意。首先是Android的安全主管Adrian Ludwig在柏林Virus Bulletin大會上所做的簡報,標題是「Android – 從無到有實作安全」。第二個就是Eric Schmidt親自加入論戰,並且宣稱Android比其主要競爭對手Apple iOS還「更加安全」。把它想成這只是句場面話來爭取支持也就可以接受了。
讓我們來看看Adrian Ludwig在柏林VB大會上的演說內容。Adrian拿出Google所擁有的Android設備安裝應用程式的大量資料,來說明只有0.001%的應用程式可以穿過Android所提供的「多層次安全防護」,有辦法實際去危害到使用者。對於一個如此應用廣泛又被犯罪份子所針對的作業系統來說,這實在是個令人印象深刻的說法。根據其演說內容,這幾層的安全防護是:Google Play,來源不明警告,安裝確認,驗證同意應用程式,驗證應用程式警告,執行分析和每個應用程式都必須運作於其中的基於權限沙箱技術。如果我對這些演講稿理解正確的話,以使用者的說法,這就等於是:Google Play,對話框,對話框,驗證應用程式,對話框,執行分析和對話框。
雖然Google的應用程式驗證技術有很大的突破,特別是現在已經和作業系統本身脫鉤,還是有許多惡意應用程式出現在Google Play上。事實上,根據最新資料( 2013年10月12日 ),有超過46 %被趨勢科技列為「惡意」(姑且不算入高風險)的應用程式直接來自Google Play。至於說到來源不明警告,安裝確認對話框以及權限/沙箱警告,我們可以這樣說,不僅應用程式開發人員常設計出過多的請求動作,使用者也很少會真的看要求的內容,甚至不會去了解他們授予權限所帶來的潛在影響。如果可以取得權限,那又有誰需要漏洞攻擊碼呢?有關應用程式授權問題只會要求一次,之後沒辦法再隨時的撤銷。不是全有就是全無,應用程式開發人員也都待在自己的世界裡,所以還是照著傳統電腦世界裡的「下一步、下一步、下一步」作法。
雖然今年還有三個月才結束,但是趨勢科技對於行動威脅的預測,特別是惡意軟體和高風險應用程式會達到100萬大關這點已經成真了。
行動惡意軟體和高風險應用程式破百萬
在趨勢科技今年第二季的安全綜合報告裡,我們提到有超過70萬的惡意和高風險應用程式流竄在外。這是個令人驚訝的數字,加上這平台的使用者數量越來越多,讓我們預測2013年將會是Android惡意軟體達到100萬的一年。
圖一、Android惡意和高風險應用程式的成長
根據我們行動應用程式信譽評比服務的資料,現在已經有100萬的行動惡意軟體(如加值服務濫用程式)和高風險應用程式(會積極提供廣告導向可疑網站的應用程式)。在我們所發現的這100萬個有問題的應用程式中,75%是徹頭徹尾的惡意程式,25 %則表現出可疑行為,其中包括了廣告程式。
加值服務濫用程式和廣告程式佔據行動威脅榜首
FAKEINST(34%)和OPFAKE(30%)等惡意軟體家族是排名前幾名的行動惡意軟體。FAKEINST惡意軟體經常會偽裝成正常的應用程式。它們同時也是加值服務濫用程式,會發送未經授權的簡訊到特定號碼,替使用者註冊昂貴的服務。有個跟FAKEINST有關的知名事件是惡意版本的壞蛋豬,在遊戲發表後就馬上被趨勢科技發現了。
圖二、前幾名的手機惡意軟體家族
一篇bitcoin.org上的文章警告使用Android錢包的比特幣(Bitcoin)擁有者一個嚴重的底層漏洞,可能會讓他們的錢包對小偷大開方便之門。
這篇文章表示「一個Android的底層元件」包含著讓Android比特幣錢包擁有者有被順手牽羊風險的漏洞。而比特幣(Bitcoin)錢包應用程式開發者Mike Hearn發文到比特幣開發者郵件群組表示,確切元件是Android所使用的Java class SecureRandom。
這樣的影響可能要比比特幣(Bitcoin)錢包來得更深遠的多。如果Mike的說法正確,那「所有」Android平台上所生成的私密金鑰在加密方面都很薄弱,需要加以「更新」,也就是用禮貌的方式來說需要「刪除並重新建立」。對於那些比特幣錢包使用者來說,這也表示會產生一個新地址,並將所有的錢送回給自己。
目前還沒有證據顯示這漏洞真的已經遭受攻擊,已經有好幾個比特幣使用者回報遭到竊取,可能跟這漏洞有關。因此,對於那些在行動設備上使用比特幣錢包的使用者,讓我們希望解決亂數產生問題的更新應用程式可以及時推出。關於受影響應用程式的詳情可以在bitcoin.org的部落格文章內看到。
至於這Android底層問題如何影響其他依賴加密的應用程式,和如何將根本解決修補程式推送到這令人頭痛的碎片化生態系也是非常值得關切。隨著越來越多應用程式和金錢有關,以及我們在行動設備上不斷增加的個人資料,這類性質的漏洞很引人注目,也非常吸引現今的網路犯罪份子。
@原文出處:Android – Bitcoin vulnerability – Exploit in the wild.
短短半年間Android增加了350,000個惡意應用程式,這是之前花了三年才達到的數字。
網路銀行威脅數量增加了近三分之一。
行動平台、設備和應用程式上的威脅在過去這幾年有著大幅成長,但在這一季,它們開始全速地前進。網路犯罪分子已經發現更加複雜的方式來繞過行動安全,而且不再只是利用惡意應用程式而已。
在去年年底,趨勢科技發表了我們對二〇一三年的預測,其中最令人注目的是斷言了行動惡意軟體會在今年底突破一百萬大關。在當時,它可能被認為這預測只是個行銷噱頭,但是事實和數據都不幸的指出此一預測即將成真。在第一季結束時,我們已經來到了一半的數字,而到了六月底,我們已經收集到了718,000個惡意和高風險的Android應用程式。
如果你看一看這些數字,可以很容易地發現Android惡意軟體數量不僅只是在增加,而且還在不斷地加速。在僅僅六個月內,Android惡意軟體的數量增加了350,000個,這是之前花了三年才達到的數字。
Android更新遲緩,使用者面臨嚴重漏洞
到現在為止,大多數應用程式都還是以打包成木馬程式的方式出現,主要針對在加值服務濫用上,好讓犯罪份子獲取利益,也還是透過應用程式商店的方式來散播。但是透過漏洞攻擊包來派送惡意軟體到行動平台的進化已經出現了,我們看到了被稱為「master-key」的漏洞,意味著已安裝的合法應用程式可能會被攻擊者偷偷的更換,OBAD惡意軟體也利用一個漏洞來取得Android設備上root和admin的權限,讓問題變得更加嚴重。只花了幾個禮拜的時間,就讓「master-key」這漏洞從概念證明變成現實。
Android的「Master Key」漏洞證明網路犯罪份子可以利用它來將原有的應用程式更新成惡意的應用程式。而另一方面,多組件惡意程式 – OBAD會攻擊管理漏洞,進行複雜的隱形和散播行為。
有鑑於Android緩慢的更新流程,想修補這些嚴重漏洞已經成為了頭痛的事情。 Android的碎片化問題讓安全修補程式在到達使用者前需要先經過緩慢的製造商開發流程。
雪上加霜的是,Android上的惡意應用程式和高風險應用程式雙雙地持續打破紀錄,本季來到了718,000這數字。此作業系統的使用者可以預見到網路犯罪分子還會繼續破紀錄下去。在短短半年間增加了350,000個惡意應用程式,這是之前花了三年才達到的數字。
比較Android和Windows惡意軟體的時間軸
本季的手機資安事件肯定會造成長久的安全問題。行動體驗伴隨著大量人的因素參與讓它變得更糟,形成了許多災難性的不安全習慣。
網路銀行惡意軟體,更多全新威脅
跟上季相比,本季的網路銀行威脅數量增加了近三分之一。這些威脅的受害者大部分來自美國、巴西、澳洲和法國。
許多業界內知名的大威脅都以新的劇本和伎倆重新推出。看看那些地下市場,專家們看到惡意軟體工具包隨著時間而降價。有些像是SpyEye甚至會在買購買其他知名工具包時免費附送。黑洞漏洞攻擊包(BHEK)採用了新的FAREIT惡意軟體變種,它會竊取檔案傳輸協議(FTP)憑證和任何目標電腦上的個人資料。像是Safe的針對性攻擊活動也在持續地攻擊企業端伺服器應用程式,像是Plesk、Ruby on Rails和ColdFusion等有可被攻擊的漏洞。社交工程威脅現在將目標放在像Digsby的多帳號存取服務,並利用許多部落格平台做成假的串流網頁。 繼續閱讀