伪Android应用BeNews的攻击机制是怎样的?

Hacking Team数据泄露事故表明，伪装Android应用可通过使用动态加载技术绕过Google Play Store中的过滤功能。这种攻击的工作原理是什么，用户和企业可如何检测这些恶意应用?

Michael Cobb：备受争议的IT安全公司Hacking Team沦为网络攻击的受害者，攻击者宣布他们正在通过Hacking Team自己的Twitter账号将其客户文件、合同、财务资料和内部邮件提供公众下载。(该公司专门向政府、执法机构和企业销售“攻击性”入侵和监控工具及服务，这400GB泄露数据向我们揭露了政府和企业监控及间谍活动的精彩世界。)

在这些泄露的文件中还包含文件解释如何使用Hacking Team的软件，以及某些应用的源代码。安全软件公司Trend Micro研究人员在这些数据中发现了恶意Android应用样本，该应用伪装成新闻app，并使用BeNews作为名称(这是现已解散的新闻网站的名称)，这个app看似合法，并且，该应用不包含漏洞利用代码，在安装时只要求三个权限。这种无害的伪装让它可通过Google Play的审批过程。然而，在安装该应用后，它会使用动态加载技术执行额外的代码。

动态加载让应用只加载需要的组件，在某些相关组件不总是需要时，这种被用来减小可执行文件的大小以及提高性能。在这个假Android应用的情况下，这种技术被用来延迟恶意代码的加载，直至app通过审核以及被安装。它安装Hacking Team的RCSAndroid监控程序，这被安全专家认为是最复杂的Android恶意软件。它可捕捉屏幕截图、监控剪贴板中的内容、收集密码、联系人和信息，并可使用手机的麦克风录音。该app利用了特权升级漏洞—CVE-2014-3153，这是Android 2.2到4.4.4中存在的漏洞，用以绕过设备安全以及允许远程攻击者访问。

在从Google Play移除之前，这个假的BeNews应用被下载多达50次，现在这个应用以及Hacking Team的其他软件的源代码已经公开，网络罪犯肯定会利用它来添加新的或改进的功能到他们自己的攻击工具。不过，从好的方面来看，泄露的数据包含大量信息可供安全研究人员用于调查从未被披露或修复的其他漏洞。Hacking Team也建议可使用沙箱技术来阻止攻击者利用漏洞攻击设备。希望这将鼓励供应商开发更好的工具以及更多地利用这种缓解技术。

企业应该通过安全消息推送随时了解这个快速变化的移动安全环境，并确保联网的移动设备保持更新和修复。现在有很多移动保护套件可提供额外的保护以防止恶意应用绕过app store和OS安全措施，这包括Trend Micro的Mobile Security for Android、ESET Mobile Security for Android以及McAfee Mobile Security，这些都是企业版本。

作者：Michael Cobb

来源：51CTO