精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

隨著Android商業間諜軟件的發展演變，我們也開始步入了移動威脅新時代。也就是說，你不再需要借助技能高超的技術專家去入侵別人的移動設備，你所需要的就是通過網絡購買操作簡單的間諜軟件即可，這些軟件和可以對網站進行DDOS攻擊的工具一樣，威力十足。

這一變化是移動惡意軟件進化過程中至關重要的一步，同時這一變化也將使得主動性移動威脅防御變得尤為重要。

背景介紹

9月初，安全公司 Skycure 的研究人員通過其自身的“眾包情報政策（crowd-sourced intelligence policies）”（運行Skycure手機應用程序充當威脅檢測傳感器）發現，在其一位客戶的企業系統中存在一個偽造的應用程序。該客戶是一家全球性的科技公司，其企業內部的所有iOS和Android設備均部署了Skycure的企業移動威脅防御解決方案。研究人員已經在該公司副總裁的 Android 6.0.1 設備上發現了該惡意軟件。目前，我們已經獲得用戶允許，披露一些關于Skycure發現間諜軟件應用程序的細節。

我們發現了什么？

受害者的Android設備被一種名為“Exaspy”的惡意程序感染，Exaspy是一種新型安卓商業間諜軟件，允許攻擊者訪問受害者的眾多數據信息，其中包括：

聊天信息和郵件：SMS、MMS、Facebook Messenger、谷歌視頻群聊、Skype、Gmail、本地電子郵件客戶端信息、Vibe以及WhatsApp等等；

音頻：能夠記錄在后臺或通話過程中獲取的音頻信息；

圖片：能夠訪問你的圖片庫，還能對你的設備進行秘密截圖；

歷史數據：能夠收集聯系人列表、日歷、瀏覽器歷史記錄以及通話記錄等等；

命令和控制（command and control，CNC）服務器能夠執行自身請求，其中包括:

監控和傳送本地文件，例如圖片和視頻等；

執行shell命令，或者產生一個逆向shell，以允許應用程序使用基本包中不包含的漏洞來運行特權。

對于最終用戶而言，潛在的危害是極大的，可能會對企業造成附加風險帶來更惡化的結果。以下羅列的只是該惡意軟件在企業移動設備中運行可能帶來的幾個后果：

收集公司的機密信息，其中可能包含財務信息、知識產權、產品信息以及機密會議的記錄等等；

勒索企業支付高額贖金，以防止信息遭到泄露；

惡意軟件是如何運行的？

基于Skycure研究實驗室對于Exaspy惡意軟件的分析，我們對于該惡意軟件運行的過程，已經能夠識別到一些主要的特征。有趣的是，該惡意軟件實際上需要一個最終用戶來執行最初的安裝步驟，也就是說，對設備進行物理訪問，安裝環節是必不可少的。以下是該應用程序在第一次運行時進行自我安裝的過程：

惡意軟件請求訪問設備管理權；

請求（友好地）獲取一個許可號碼；

隱藏自己；

請求訪問root（如果設備是通過rooting應用程序進行管理）。一旦成功，它就會自行安裝成一個系統安裝包，此舉加劇了卸載的困難性；

需要注意的是，盡管root訪問請求可能會被SU管理者（如SuperSU權限管理）拒絕，但是一旦啟動CNC連接，服務器就會發送一個root 應用完成自我執行的過程。

一旦成功安裝應用程序，惡意軟件就能夠在移動設備上通過以下方式運行：

該應用程序被命名為“谷歌服務（Google Services）”并將工具包命名為“com.android.protect”；很明顯，該惡意軟件是偽裝成“谷歌服務”——一個流行的Android應用程序API，可以用來豐富他們的應用程序（推送通知、地圖等）。

該應用程序與如下服務器進行通信：

hxxps://api.andr0idservices.com（130.211.9.200，托管在谷歌云中）；

從硬編碼鏈接hxxp://www.exaspy.com/a.apk中下載更新程序；

該應用程序將自動從發射器中隱藏自己（通過禁用其主要活動組件）；

該應用程序將禁用三星的SPCM服務和com.samsung.android.smcore包，所以它可以在沒有三星服務查殺的環境中運行；

該應用程序還將自行安裝成一個系統安裝包，以防止用戶對其執行刪除操作。

　　有何有趣之處？

Android和iOS的間諜軟件已經存在很長時間了，但是一些備受矚目的事件似乎在向我們傳遞一個信號：間諜軟件開始針對一些知名人士（包括企業高管等）實施復雜持續的攻擊。值得一提的是發現于今年8月的一款名為“Pegasus”的間諜軟件，主要被其政府用于阿聯酋人權運動中，攻擊持異見的民主黨官員的手機。

目前，傳統的反惡意軟件產品依然不能很好地檢測該類惡意軟件，因為傳統的方法需要對每個新型惡意軟件家族創建一個簽名。這個簽名可能是可執行文件中的一個字符串、一個鏈接庫或是編譯后的代碼樣本等。但是創建這種簽名需要人工對樣本進行檢測，需要花費很多的時間和人力成本來進行，而且結果還往往是不成功的。這就是為什么傳統的反病毒和反惡意程序軟件解決方案需要頻繁更新的原因所在。

其他的方法包括在沙箱（動態分析）中執行應用程序也能夠檢測出部分此類威脅。正如我們在AppSecEU16（點擊查看視頻）中展示的一樣，當沙箱被檢測時惡意應用程序很容易會釋放出惡意代碼。

在這種情況下，Skycure公司眾包情報收集的數據就可以察覺出該應用程序存在異常。IT管理人員應該意識到的是，大量的間諜軟件攻擊者可以輕松地在線購買并運用這種攻擊。

如何保護自身和最終用戶的安全？

為了阻止攻擊需要對你的設備進行物理訪問：

設置密碼和指紋身份認證；

禁用USB調試；

確保OEM 解鎖功能處于關閉狀態；

定期檢查Android的設備管理員列表并且禁用你不信任的組件；

安裝Skycure的移動威脅防御解決方案（赤果果的廣告植入嗎？），保護用戶有效防御此類威脅；

避免從不受信任的軟件商店下載應用程序；

不要給不需要的應用程序特殊權限；

結論

以前移動攻擊需要很高的技能水平才能完成，所以很罕見。但是在如今的市場上，任何人都可以輕易地購買到所需的惡意軟件，這也使得威脅形勢日益嚴峻。我們上面介紹的Exaspy間諜軟件，還只是IT專業人員需要對抗的惡意軟件包中的其中一個。而當我們考慮到下面這些統計數據時，我們會發現防御的難度比我們想象的更艱巨：

根據IBM統計，數據泄露的平均成本為400萬美元；

Skycure移動安全季度報告顯示，27%的用戶正在運行一個過時的手機操作系統；

同樣來自Skycure的報告顯示：在對移動設備進行監視時發現，45%的移動設備在監視前4個月內將會遭遇一次網絡攻擊；

當你將這些數據和威脅（如Exaspy）結合起來看，很明顯，IT專業人士必須為如今的移動市場做點什么了！因為只要在一個用戶的設備上安裝惡意軟件就能將整個企業置于危險之中。

相關技術細節

以下列舉部分技術細節，希望可以幫助IT專業人員檢測自身企業中是否含有此類應用程序：