赛门铁克安全团队发现，移动恶意软件开发者对威胁攻击进行更新，现可攻击安卓最新运行系统Marshmallow 中的授权模式。在安装移动应用时，安卓系统的授权模式会向所安装的应用授予权限，但并不是直接接受所有的安装要求。然而，Android.Bankosy和Android.Cepsohord等恶意软件如今已适应了这种授权模式，它们会设法获得所需的权限，从而进行恶意活动。

在运行时申请授权

在运行Android 6.0 Marshmallow系统的设备上，移动应用只会在需要时申请所需的权限，并告知用户该应用在运行时所带来的隐私风险，但不会申请所有权限。

如果移动应用的“target_sdk”属性设置小于23，则能够避免申请授权，例如某款应用的开发者有意将“target_sdk”属性设置为22，用户则会在安装期间授予该应用所有的申请权限。值得一提的是，用户能够随时撤销该应用的权限，无需考虑“target_sdk”值。

虽然Android Marshmallow系统已经在去年发布，但恶意软件开发者仍在使用较旧的权限模式。这是因为旧的权限模式可以让攻击者在安装应用时更轻松地获取所有权限，而不是在应用将要使用某项功能时要求用户授予各项权限。

随着越来越多的设备采用Marshmallow系统，更多用户也在学习如何手动撤销权限。恶意软件Android.Bankosy和Android.Cepsohord的开发者已经开始迁移代码，以应对运行时权限模式。

Bankosy和Cepsohord恶意软件如何应对Marshmallow新型权限模式

金融木马Android.Bankosy会在执行恶意代码前，检查应用权限是否处于未撤销状态。赛门铁克安全专家在过去曾提出，Bankosy恶意软件会调用特殊的服务代码（*21*[DESTINATION NUMBER]#），并在受感染的设备上进行无条件呼叫转移，通过这项功能，攻击者可以根据攻击目标的相关信息执行欺诈交易。

近期，Bankosy恶意软件的开发者更新了恶意软件代码，检查用户是否授予呼叫此号码的权限。攻击者通过利用Marshmallow的checkSelfPermission API来达到这一目的。

图1. Bankosy恶意软件的代码已更新。此代码将利用Marshmallow的checkSelfPermission API检查用户是否授予权限

点击式欺诈恶意软件Cepsohord则更加先进，它已经能够完全应对Marshmallow的新型权限模式。该威胁不仅能够检查权限的授权状态，还会要求用户授予权限，以防止权限处于撤销状态。

图 2.Cepsohord恶意软件要求用户授予权限，以防止权限处于撤销状态

网络攻击者的下一步计划

恶意软件开发者会想方设法处理在攻击路上所遇到的障碍，赛门铁克安全团队曾发现安卓威胁通过自动更新来躲避Google移动操作系统上的新型安全措施。这些威胁能够通过强大的社交工程来达到攻击目的，并且能够充分利用移动设备用户缺乏隐私保护意识这一弱点。

赛门铁克安全建议：

赛门铁克建议用户采用以下措施防御移动威胁：

• 确保软件为最新版本
• 避免从未知网站下载应用，只安装来自可靠来源的应用
• 密切注意应用申请的权限
• 安装一款合适的移动安全应用来保护您的设备和数据，比如诺顿
• 定期备份重要数据

赛门铁克安全防护：

赛门铁克和诺顿产品能够检测出以下威胁，为用户提供可靠的安全防护：

• Android.Bankosy
• Android.Cepsohord