网络安全新常态下Android应用供应链安全探秘(下)

2018-07-27 20:52:15

再次,部分恶意开发者渗入了SDK开发环节,以提供第三方服务的方式吸引其他APP应用开发者来集成他们的SDK。借助这些合法应用,恶意的SDK可以有效地躲避大部分应用市场和安全厂商的检测,影响大量用户的安全。

“Ya Ya Yun”恶意SDK

安全事件

“Ya Ya Yun”恶意SDK

披露时间

2018年1月

事件描述

Doctor Web病毒分析师在Google Play上发现了几款游戏在运行时秘密地下载和启动执行各种恶意行为的附加模块。分析发现作恶模块是一个叫做呀呀云(Ya Ya Yun)的框架(SDK)的一部分。该SDK秘密地从远程服务器下载恶意模块,通过后台打开网站并模拟点击来盗刷广告,获取灰色收益。

影响范围

Google Play上超27款游戏应用包含此恶意SDK,影响超450万个用户

参考链接

https://news.drweb.com/show/?i=11685&lng=en&c=14

 

“寄生推”恶意SDK

安全事件

“寄生推”恶意SDK

披露时间

2018年4月

事件描述

2018年4月,腾讯安全反诈骗实验室的TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,它通过预留的“后门”云控开启恶意功能,私自ROOT用户设备并植入恶意模块,进行恶意广告行为和应用推广,以实现牟取灰色收益。

影响范围

超过300多款知名应用受“寄生推”SDK感染,潜在影响用户超2000万。

参考链接

http://www.freebuf.com/articles/terminal/168984.html

 

3.3 应用分发渠道安全事件

Android应用分发渠道在供应链中占据着十分重要的位置,也是安全问题频发的环节。Android应用分发渠道众多,应用市场、厂商预装、破解网站、ROM内置等都是用户获取应用的常见方式。不仅第三方站点下载、破解应用等灰色供应链中获取的软件极易被植入恶意代码,就连某些正规的应用市场,由于审核不严等因素也被攻击者植入过含有恶意代码的“正规”软件。

WireX Android Botnet

图片关键词


Pujia8 破解网站携带木马

安全事件

Pujia8 破解网站携带木马

披露时间

2017年11月

事件描述

2017年11月,腾讯反诈骗实验室发现某游戏破解网站上多款游戏应用被植入了Root模块,在运行时,利用 CVE-2015-1805等内核漏洞强行ROOT用户设备,并将无图标恶意应用植入到设备系统目录,长期潜伏用户设备进行恶意广告和流氓推广行为。

影响范围

涉及多款破解游戏应用,影响百万用户

参考链接

http://www.freebuf.com/articles/network/154029.html


除了用户直接获取应用的渠道存在的安全威胁外,其他提供第三方服务的厂商如OTA升级、安全加固等也可能在服务中预留后门程序,威胁用于的隐私和设备安全。

广升被爆向Android设备预装后门

安全事件

广升被爆向Android设备预装后门,窃取用户隐私

披露时间

2016年11月

事件描述

上海广升信息技术有限公司是全球领先的FOTA技术服务提供商之一,核心业务为广升FOTA无线升级,通过升级包差分,空中下载,远程升级技术,为具有连网功能的设备如手机、平板电脑等智能终端提供固件差分包升级服务。

2016年11月,信息安全公司Kryptowire在一些价格低廉的Android设备上发现了后门程序,该后门会每隔72小时收集设备上的隐私信息,包括短信内容、联系人信息、通话记录、IMEI、IMSI、位置、安装的应用和使用的应用等,上传到该后门开发商的服务器中。后门的开发商是上海广升信息技术股份有限公司,该公司法律顾问称这个后门出现在设备制造商BLU生产的设备上是一个错误行为。

2017年11月, Malwarebytes 移动安全团队公布的报告称大量 Android 设备仍然含有了提供 FOTA 服务的上海广升公司的后门。

影响范围

部分使用了广升FOTA技术服务的中低端Android设备

参考链接

https://www.bleepingcomputer.com/news/security/secret-backdoor-in-some-low-priced-android-phones-sent-data-to-a-server-in-china/

https://www.bleepingcomputer.com/news/security/chinese-backdoor-still-active-on-many-android-devices/


OTA厂商锐嘉科在Android设备中植入rootkit

安全事件

OTA厂商锐嘉科在Android设备中植入rootkit

披露时间

2016年11月

事件描述

2016年11月,AnubisNetworks的安全研究人员发现多个品牌的Android手机固件OTA升级机制存在安全问题,而这种不安全的的OTA升级机制和中国一家名为锐嘉科(Ragentek Group)的公司有关。

报告称,安装该恶意软件的设备可被黑客进行中间人攻击,并且以root权限执行任意代码以此来获得对Android设备的绝对控制权,其主要原因是因为设备在OTA更新的时候没有采取严格的加密措施导致的。

影响范围

三百万台被植入该后门的安卓设备

参考链接

http://www.freebuf.com/news/120639.html


某加固服务被爆出夹带广告

安全事件

某加固服务被爆出夹带广告

披露时间

2017年1月

事件描述

2017年初,有开发者反馈,开发的应用在使用了某加固服务后,被嵌入了充电广告。根据开发者的挖掘,该加固服务在加固应用时,会在开发者不知情的情况下植入代码用于拉取广告、下载拉活其他应用、程序异常上报、获取应用程序信息等行为。

影响范围

涉及使用该版本加固服务的所有应用

参考链接

http://www.dgtle.com/article-17069-1.html

3.4 使用环节的安全问题

用户在使用应用的过程中,也可能面临应用升级更新的情况,2017年12月,Android平台爆出“核弹级”Janus漏洞,能在不影响应用签名的情况下,修改应用代码,导致应用的升级安装可能被恶意篡改。同样,随着越来越多的应用采用热补丁的方式更新应用代码,恶意开发者也趁虚而入,在应用更新方式上做手脚,下发恶意代码,威胁用户安全。

Janus签名漏洞

安全事件

Android平台爆出Janus签名漏洞,应用升级可能被恶意篡改

披露时间

2017年12月

事件描述

2017年12月,Android平台被爆出“核弹级”漏洞Janus(CVE-2017-13156),该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其签名。正常情况下 根据Android签名机制,开发者发布一个应用,需要使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名,否则修改过的应用是无法安装到任何Android设备上的。但是通过Janus漏洞,恶意攻击者可以篡改Android应用中的代码,而不会影响其签名,并通过应用升级过程,覆盖安装原有应用。

影响范围

系统版本Android 5.0~8.0,采用v1签名的APK应用

参考链接

http://www.freebuf.com/articles/paper/158133.html


儿童游戏系列应用

安全事件

儿童游戏应用,动态更新下载恶意代码

披露时间

2018年5月

事件描述

2018年5月,腾讯安全反诈骗实验室曝光了“儿童游戏”系列恶意应用。这类应用表面上是儿童益智类的小游戏,在国内大部分应用市场都有上架,但实际上,这些应用在使用过程中可以通过云端控制更新恶意代码包,在背地里做着用户无法感知的恶意行为:加载恶意广告插件,通过将广告展示界面设置为不可见,进行广告盗刷行为,疯狂消耗用户流量;动态加载恶意ROOT子包,获取手机ROOT权限,替换系统文件,将恶意的ELF文件植入用户手机。

影响范围

涉及一百多款儿童游戏应用,累计影响用户数达百万

参考链接

http://www.freebuf.com/articles/terminal/173104.html

 

四、供应链安全的发展趋势和带来的新挑战

图片关键词

Android供应链安全事件时序图

分析我们整理的关于Android应用供应链的重要安全事件的时序图可以发现,针对供应链攻击的安全事件在影响面、严重程度上都绝不低于传统的恶意应用本身和针对操作系统的漏洞攻击,针对Android应用供应链的攻击的呈现出以下趋势:

1、针对供应链下游(分发环节)攻击的安全事件占据了供应链攻击的大头,受影响用户数多在百万级别,且层出不穷。类似于XcodeGhost这类污染开发工具针对软件供应链上游(开发环境)进行攻击的安全事件较少,但攻击一旦成功,却可能影响上亿用户。

2、第三方SDK安全事件和厂商预留后门也是Android供应链中频发的安全事件,这类攻击大多采用了白签名绕过查杀体系的机制,其行为也介于黑白之间,从影响用户数来说远超一般的漏洞利用类攻击。

3、从攻击的隐蔽性来讲,基于供应链各环节的攻击较传统的恶意应用来说,隐蔽性更强,潜伏周期更久,攻击的发现和清理也都比较复杂。

4、针对供应链各环节被揭露出来的攻击在近几年都呈上升趋势,在趋于更加复杂化的互联网环境下,软件供应链所暴露给攻击者的攻击面越来越多,并且越来越多的攻击者也发现针对供应链的攻击相对针对应用本身或系统的漏洞攻击可能更加容易,成本更低。

针对供应链的攻击事件增多,攻击的深度和广度的延伸也给移动安全厂商带来了更大的挑战。无论是基于特征码查杀、启发式杀毒这类以静态特征对抗静态代码的第一代安全技术,还是以云查和机器学习对抗样本变种、使用白名单和“非白即黑”的限制策略等主动防御手段为主的第二代安全技术,在面对更具有针对性、隐蔽性的攻击时,都显得捉襟见肘。在这种新的攻击环境下,我们极需一种新时代的安全体系来保护组织和用户的安全。


五、打造Android供应链安全生态

针对软件供应链攻击,无论是免费应用还是付费应用,在供应链的各个环节都可能被攻击者利用,因此,需要对供应链全面设防,打造Android应用供应链的安全生态。在应对应用供应链攻击的整个场景中,需要手机厂商、应用开发者、应用市场、安全厂商、最终用户等各主体积极参与、通力合作。

手机厂商

受到Android系统的诸多特性的影响,系统版本的碎片化问题十分严重。各大手机厂商对现存设备安全漏洞的修复和更新安全补丁的响应时间有很大的区别。

1、关注Google关于Android系统的安全通告,及时对系统已知的安全漏洞进行修复;

2、关注自身维护机型的安全动态,如被揭露出存在严重的安全问题,通过配置或加入其他安全性控制作为缓解措施,必要时对系统进行相应的安全升级;

3、遵守相关安全法规,严禁开发人员在手机系统中留下调试后门之类的安全风险,防止被恶意利用,保证可信安全的手机系统环境。

应用开发商/者

 培养开发人员的安全意识,在开发过程的各个环节建立检查点,把安全性的评估作为一个必要评审项。开发环节严格遵守开发规范,防止类似调试后门等安全威胁的产生。开发完成的应用发布前交给独立的内部或外部测评组织进行安全性评估,及时解决所发现的问题。

通过正规渠道发布应用,对应用签名证书做好保密措施,规范应用发布流程,防止应用签名证书泄露导致应用被篡改。软件升级更新时,要校验下载回来的升级包,保证不运行被劫持的升级包。

应用市场

由于Android系统的开发性和一些特殊的原因,各大手机厂商的应用市场、应用宝和众多第三方应用市场是国内应用分发的主要渠道。应用市场在Android应用供应链生态在处于十分关键的位置,也是安全问题频发的环节。针对应用市场,我们给出了以下建议:

1、规范应用审核和发布流程,各环节严格把控,禁止具有安全风险的应用进入应用市场;

2、完善的应用开发商/者的管理规范,实施有效的奖惩措施,打击恶意开发者,防止恶意开发者浑水摸鱼;

3、提升自身恶意应用检测能力或使用成熟的安全厂商提供的检测服务,预防恶意应用进入应用市场。

安全厂商

长期以来安全厂商大多以应用安全和操作系统本身的漏洞为中心提供产品和服务,针对供应链环节的安全问题似乎并没有投入足够的关注。通过上述对应用供应链各环节的重大安全事件分析可以看到,应用开发、交付、使用等环节都存在巨大的安全威胁,其导致的危害并不低于安全漏洞所导致的情况,因此仅关注软件及操作系统本身的安全威胁是远远不够的。所以,安全厂商需要从完整的软件供应链角度形成全景的安全视野,才能解决更多纵深的安全风险。安全厂商可以加强如下几点:

1.提升发现安全问题的能力,不仅限于通常意义恶意软件和系统上的安全漏洞,而是要关注应用供应链的各个环节,针对应用在终端上的行为,而非样本本身进行防御;

2.提供创新型的产品和服务,为用户实现全面细致的态势感知,立足于安全威胁本身,链接威胁背后的组织、目的和技术手段,进行持续监控,发现可能的未知攻击,并帮助用户完成安全事件的快速检测和响应。

为应对未来严峻的安全挑战,腾讯安全立足终端安全,推出自研AI反病毒引擎——腾讯TRP引擎,TRP引擎通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对设备上各类应用的行为进行深度学习,能有效识别恶意应用的风险行为,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。

图片关键词

同时针对恶意软件开发者和黑产从业人员,腾讯反诈骗实验室基于海量的样本APK数据、URL数据和手机号码黑库建立了神羊情报系统,可以根据恶意软件的恶意行为、传播URL和样本信息进行聚类分析,溯源追踪恶意攻击的攻击链条、使用的技术手段、背后的开发团队/者,提供详细的威胁情报,予以精确打击,保护厂商和广大用户免受恶意软件侵害。

最终用户

最终用户身处供应链的最末端,作为应用的使用者,也是恶意应用的直接危害对象,我们给出了以下建议:

1、尽可能使用正版和官方应用市场提供的APP应用;

2、不要安装非可信渠道的应用和点击可疑的URL;

3、移动设备及时进行安全更新;

4、安装手机管家等安全软件,实时进行保护。

 

参考链接:

https://hackerone.com/reports/226756

http://www.freebuf.com/column/142775.html

http://www.freebuf.com/articles/system/156332.html

https://zipperdown.org/

http://www.freebuf.com/vuls/83789.htmlhttps://www.secpulse.com/archives/40062.html

https://blog.lookout.com/igexin-malicious-sdk

https://news.drweb.com/show/?i=11685&lng=en&c=14

http://www.freebuf.com/articles/terminal/168984.html

https://blog.cloudflare.com/the-wirex-botnet/?utm_content=buffer9e1c5&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

http://www.freebuf.com/articles/terminal/145955.html

http://www.freebuf.com/articles/network/154029.html

https://www.bleepingcomputer.com/news/security/secret-backdoor-in-some-low-priced-android-phones-sent-data-to-a-server-in-china/

https://www.bleepingcomputer.com/news/security/chinese-backdoor-still-active-on-many-android-devices/

http://www.freebuf.com/news/120639.html

http://www.dgtle.com/article-17069-1.html

http://www.freebuf.com/articles/paper/158133.html

http://www.freebuf.com/articles/terminal/173104.html