賽門鐵克安全團隊發現，移動惡意軟件開發者對威脅攻擊進行更新，現可攻擊安卓最新運行系統Marshmallow 中的授權模式。在安裝移動應用時，安卓系統的授權模式會向所安裝的應用授予權限，但并不是直接接受所有的安裝要求。然而，Android.Bankosy和Android.Cepsohord等惡意軟件如今已適應了這種授權模式，它們會設法獲得所需的權限，從而進行惡意活動。

　　在運行時申請授權

在運行Android 6.0 Marshmallow系統的設備上，移動應用只會在需要時申請所需的權限，并告知用戶該應用在運行時所帶來的隱私風險，但不會申請所有權限。

如果移動應用的“target_sdk”屬性設置小于23，則能夠避免申請授權，例如某款應用的開發者有意將“target_sdk”屬性設置為22，用戶則會在安裝期間授予該應用所有的申請權限。值得一提的是，用戶能夠隨時撤銷該應用的權限，無需考慮“target_sdk”值。

雖然Android Marshmallow系統已經在去年發布，但惡意軟件開發者仍在使用較舊的權限模式。這是因為舊的權限模式可以讓攻擊者在安裝應用時更輕松地獲取所有權限，而不是在應用將要使用某項功能時要求用戶授予各項權限。

隨著越來越多的設備采用Marshmallow系統，更多用戶也在學習如何手動撤銷權限。惡意軟件Android.Bankosy和Android.Cepsohord的開發者已經開始遷移代碼，以應對運行時權限模式。

Bankosy和Cepsohord惡意軟件如何應對Marshmallow新型權限模式

金融木馬Android.Bankosy會在執行惡意代碼前，檢查應用權限是否處于未撤銷狀態。賽門鐵克安全專家在過去曾提出，Bankosy惡意軟件會調用特殊的服務代碼(*21*[DESTINATION NUMBER]#)，并在受感染的設備上進行無條件呼叫轉移，通過這項功能，攻擊者可以根據攻擊目標的相關信息執行欺詐交易。

近期，Bankosy惡意軟件的開發者更新了惡意軟件代碼，檢查用戶是否授予呼叫此號碼的權限。攻擊者通過利用Marshmallow的checkSelfPermission API來達到這一目的。

▲ Bankosy惡意軟件的代碼已更新

點擊式欺詐惡意軟件Cepsohord則更加先進，它已經能夠完全應對Marshmallow的新型權限模式。該威脅不僅能夠檢查權限的授權狀態，還會要求用戶授予權限，以防止權限處于撤銷狀態。

▲Cepsohord惡意軟件要求用戶授予權限，以防止權限處于撤銷狀態

網絡攻擊者的下一步計劃

惡意軟件開發者會想方設法處理在攻擊路上所遇到的障礙，賽門鐵克安全團隊曾發現安卓威脅通過自動更新來躲避Google移動操作系統上的新型安全措施。這些威脅能夠通過強大的社交工程來達到攻擊目的，并且能夠充分利用移動設備用戶缺乏隱私保護意識這一弱點。

賽門鐵克安全建議：

賽門鐵克建議用戶采用以下措施防御移動威脅：

確保軟件為最新版本

避免從未知網站下載應用，只安裝來自可靠來源的應用

密切注意應用申請的權限

安裝一款合適的移動安全應用來保護您的設備和數據，比如諾頓

定期備份重要數據