【正視聽】Dropper-as-a-Service大勢所趨 手機惡意軟件攔截大挑戰
Trend Micro Mobile Team 分析了部分新的 Dropper 惡意軟件,發現黑客使用了更多新手法將惡意軟件安裝到 Android 用家手機,以此避過較先進的偵測機制,犯罪集團有了成功率高的方法,因此現時愈來愈多集團提供 Dropper-as-a-Service(DaaS)服務,相信手機防禦面對的挑戰會愈來愈嚴竣。
傳統的手機病毒偵測方法,是透過掃描軟件程式碼偵測內裡有否可疑功能,或在執行時檢查網絡傳輸有否連結到有問題的網址。黑客為了避過檢測,陸續使用不同的方法,而 Dropper 便是其中一種,它在一開始時未必存在明顯的惡意編碼,或會以加密手段隱藏惡意編碼,但在安裝執行後,便會釋放加密編碼或從由黑客控制的 C&C 中心下載其餘部分,而為了減少被偵測的可能性,Dropper 還會在執行惡意活動前停用手機的安全功能,因此非常難以攔截。
Trend Micro 專家最新發表的 DawDropper 報告,便分析了這款變種 Dropper 的避測原理。它首先會匿藏在工具或生產軟件如 QR code 掃描器、VPN 服務、錄音軟件中,以此通過 Google Play Store 的安全審查,當有用家安裝使用,它便會從控制中心下載銀行帳戶資料竊取軟件如 Octo、Hydra、TeaBot 等。正如上文所述,黑客特別使用 Firebase Realtime Database 雲端 NoSQL 數據庫作為控制中心,又或將惡意部分儲存在 GitHub 平台,由於這些平台都是開發人員常用平台,因此可減低手機防毒軟件的戒心,允許數據互傳,從而達成加裝惡意功能的目的,將手機用家的銀行帳戶資料、儲存密碼傳出。
專家指 DawDropper 與另一款 Clast82 dropper 都使用 Firebase Realtime Database 儲存惡意編碼,除了可能有關,亦顯示使用相關服務成為新趨勢,與以往會將控制中心位址「硬寫」在編碼中有很大分別,並提醒業界必須加強防範,特別是暗網中愈來愈多黑客提供 DaaS 服務。另外用家亦應在下載前花時間閱讀下載頁面的評語,同時避免從非官方地方下載及安裝手機軟件。
相關文章:【全自動化】特強Android惡意軟件 MaliBot不經人手通過MFA驗證
https://www.wepro180.com/android-malware220622/