北京时间6 月14 日,日前,中国互联网协会、国家互联网应急中心首次联合发布《中国移动互联网发展状况及其安全报告(2016)》。报告显示,2015年中国活跃的手机网民数量达7.8亿,占全国人口数量的一半以上。随着智能手机的普及,人们开始习惯使用手机完成购物、沟通甚至金融服务等,各类应用程序也层出不穷,手机安全问题日渐严峻。2015年我国感染移动互联网恶意程序的境内用户高达1.74亿,其中,恶意扣费类的恶意程序数量仍居首位,占23.61%,流氓行为类占22.21%、远程控制类占15.09%,分列第二、三位。
英特尔安全事业部今日公布了《迈克菲实验室威胁报告:2016 年 6 月刊》,报告介绍了移动应用合谋的发展趋势,合谋是指网络犯罪分子操纵两个或多个应用对智能手机机主有组织、有计划地发起攻击。迈克菲实验室已在超过 5000 个版本的 21 款设计用于提供有用的用户服务(例如,移动视频流、健康监控和旅游规划)的应用中观察到此类行为。令人遗憾的是,由于用户未能对这 21 款移动应用定期执行必要的软件更新,导致旧版本的应用可能会被用于执行恶意活动。
合谋移动应用通过利用移动操作系统应用间的公共通信功能来执行有害活动,此威胁理论在多年前就已被普遍认为存在可行性。这些操作系统组合采用多种技术将应用隔离在沙箱中,限制应用功能,并采用极为精细的级别控制应用权限。但令人遗憾的是,移动平台也提供了一些方法,详细说明应用如何跨沙箱边界彼此进行通信。合谋应用可以相互协作,利用这些应用间通信功能执行恶意活动。
迈克菲实验室已发现了可通过移动应用合谋实施的三种类型的威胁:
- 信息窃取:有权访问敏感信息或机密信息的应用自愿或非自愿地与一个或多个其他应用进行协作,将信息发送到设备边界之外
- 财务信息窃取:某个应用将信息发送给另一个应用,使其能够执行金融交易或调用金融 API 以实现类似目的
- 服务滥用:某个应用控制系统服务并从一个或多个其他应用接收信息或命令,以策划执行某些恶意活动
移动应用合谋要求至少有一个应用具有访问受限信息或服务的权限,有一个应用虽然不具有该权限,但具有设备的对外访问权限,而且能够彼此进行通信。其中一个应用由于意外数据泄露或包含恶意代码库或软件开发工具包,可有意或无意中进行协作。此类应用可利用共享空间(所有应用均具有读取访问权限的文件)来交换有关已授予的特权的信息,并确定哪一个应用最适合作为远程命令的入口点。
“检测技术的改进会导致欺诈手段的花样翻新,”英特尔安全事业部迈克菲实验室团队的副总裁 Vincent Weafer 表示,“敌人会利用隐藏在普通应用中的新型威胁来应对移动安全技术的改进,这一点也不足为奇。我们的目标就是不断加大恶意应用入侵我们个人设备的难度,开发出更加智能的工具和技术以检测合谋移动应用。”
迈克菲实验室报告对创建合谋移动应用检测工具的前瞻性研究进行了讨论,此类工具最初由威胁研究人员来操作,不过最终将会实现检测的自动化。在识别到合谋应用后,可以采用移动安全技术进行阻止。该报告为用户提供了各种应对建议,以最大限度地降低移动应用合谋的威胁,包括仅从可信来源下载移动应用,避免使用内嵌广告的应用,不要对移动设备进行越狱,最重要的是,始终保持操作系统和应用软件处于最新状态。
有关消费者如何防御报告中所列威胁的在线安全提示,请访问消费者安全提示博客。
本季度报告还介绍了 W32/Pinkslipbot 木马(也称为 Qakbot、Akbot、QBot)的死灰复燃。这是一种具有类似于蠕虫能力的后门木马,最初出现于 2007 年,很快就因其强大的银行凭据、电子邮件密码和数字证书窃取能力,成为臭名昭著的极具破坏性、影响巨大的恶意软件家族的翘楚。2015 年末,Pinkslipbot 恶意软件再次死灰复燃,经过改进后,该恶意软件具有反分析和多层加密功能,可防范恶意软件研究人员对其进行剖析和反向工程。报告还详细介绍了该木马的自我更新和数据泄露机制,以及迈克菲实验室在实时监控 Pinkslipbot 感染和凭据窃取方面的工作进展。
最后,迈克菲实验室对主流哈希功能的发展现状进行了评估,并呼吁企业采用最新、最强大的哈希标准更新其系统。
2016 年第一季度威胁统计
- 勒索软件。由于勒索软件网络犯罪的技能门槛相对较低,大量网络犯罪分子不断涌入勒索软件网络犯罪社区,导致本季度新的勒索软件样本数量增长了 24%。用于部署恶意软件的漏洞攻击套件的广泛普及是造成这一趋势的主因。
- 移动恶意软件。新的移动恶意软件样本数量 2016 年第一季度比上一季度增长了 17%。移动恶意软件样本总数比上一季度增长了 23%,前四个季度累计增长了 113%。
- Mac OS 恶意软件。Mac OS 恶意软件在第一季度出现激增,主要归因于 VSearch 广告软件的增长。尽管 Mac OS 样本的绝对数量仍然很低,但样本总数比上一季度增长了 68%,前四个季度累计增长了 559%。
- 宏恶意软件。自 2015 年起,宏恶意软件持续保持增长态势,新的宏恶意软件样本数量比上一季度增长了 42%。新型宏恶意软件利用通过社交工程收集的信息,主要通过复杂的垃圾邮件活动以貌似合法的方式持续对企业网络发起攻击。
- Gamut 僵尸网络。Gamut 僵尸网络成为第一季度最高效的垃圾邮件僵尸网络,垃圾邮件发送数量增长了将近 50%。猖獗的垃圾邮件活动为人们描绘了种种可快速致富的圈套,一举击溃了整个药物供应网络。2015 年第四季度垃圾邮件发送量最高的僵尸网络和最广泛的恶意软件分发网络 Kelihos 滑落到第四位。
有关这些重要主题或 2016 年第一季度威胁态势统计的更多信息,请访问http://www.mcafee.com/cn/resources/reports/rp-quarterly-threats-may-2016.pdf 查看完整报告。
有关企业如何更好地防御本季度报告中所列威胁的指导,请访问企业博客。
关于迈克菲实验室
迈克菲实验室是英特尔安全事业部的威胁研究部门,也是全球首屈一指的集威胁研究、威胁情报和领先的网络安全理念于一身的研究机构之一。迈克菲实验室的威胁研究人员通过全面监控所有的威胁媒介 — 文件、Web、邮件和网络,能够对从全球数百万台传感器采集到的真实数据进行关联。通过基于云的全球威胁智能感知系统,为紧密集成的迈克菲终端和网络安全产品提供实时威胁情报服务。迈克菲实验室还开发核心威胁检测技术(例如,应用分析和灰名单管理),这些技术被融入业界最广泛的安全产品系列中。 
