神刀安全网

什么是“移动端应用协作”(MAC)攻击?

什么是“移动端应用协作”(MAC)攻击?

Intel安全团队最近表示,他们检测到恶意代码被发布在数以千计的安卓包里。黑客对这些代码进行组合后,对没有防备的手机用户发起攻击。

这种攻击被称为“移动端应用协作”(MAC)攻击——「邪恶」的开发者会把恶意代码,分别放进不同的应用程序及共享代码库等地方。无论是安卓还是IOS系统,如果用户在自己的手机上安装了两种或两种以上这些程序,恶意代码会组合起来,黑客们就可以发起攻击。

因为恶意功能被分割到不同的应用里面,或者通过多种方法进行组合,谷歌或苹果等应用商店进行安全自检时,并不一定能检测出来,因为他们对每个应用都是单独进行测试的。

MAC常见攻击方法

黑客发动协作攻击时,可以采用以下三种方法:

第一种方法 ,他们可以将恶意代码分割到不同的应用中,然后借助移动端系统的内置应用的通信特性,来发起对用户攻击。

黑客只有在确定他们能诱使用户安装两个及以上的应用时,才会使用这种方法。因特尔表示,开发者对应用采用捆绑安装的分布手段,可能就采用了这种策略。

第二种方法 ,他们会在共享代码库里下功夫,比如SDK。黑客开发了一些恶意的SDK,然后把其分散在开发人员的程序中。某一个应用可能使用了该SDK的一部分,然后其他应用各使用了一部分,拼凑起来就是一个整体了。

黑客还可以在SDK的各种包中隐藏一些恶意函数,当含有该SDK恶意函数的应用被装在手机中时,黑客就可以借此实行他们的攻击,拿下这台智能手机。

什么是“移动端应用协作”(MAC)攻击?

第三种方法 ,依赖于一个单独的恶意手机应用,它会根据设备上其他应用的漏洞进行攻击。这个方法并不是单纯的“移动端应用协作”,更多的是单方面的强制“协作”,因为在漏洞利用过程中实际上只存在一个恶意应用。

从理论转向实践

研究人员表示,这种“移动端应用协作”攻击至少已经持续一年了,部分研究人员已经联手组建了ACiD项目,旨在检测移动端应用的这种协作攻击。

Intel McAfee实验室表示,在测试过程中他们在21种移动端应用里检测了5000多个安装包,黑客利用“移动端应用协作”攻击进行了提权,绕过了系统限制,并执行了恶意操作。

在他们发现的恶意应用中,这些应用都使用了由百度提供的广告SDK中的函数,即去年由趋势科技检测出的Moplus。

自动化检测?很难

Igor Muttik表示:

“协作的特性是软件隔离的通用性难题,这个问题存在于所有实现软件沙盒的环境,从其他移动端操作系统到服务器的虚拟机环境。”

由于安卓和IOS里的应用,大多数都是通过显式或隐式进行通信,这使得分析更加困难。在大多数情况下,检测这种应用的唯一方法,只有手动分析代码。

研究人员投入了一系列测试来检查”移动端应用协作“攻击。尽管他们已经尽了最大的努力,目前还是有3%的误判和2.5%的漏判。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 什么是“移动端应用协作”(MAC)攻击?

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址