上个月,我们发布了博客,介绍 Android 勒索软件采用的一些规避检测和对抗分析策略,以及安全社区与恶意软件作者之间无休止的猫抓老鼠游戏。
在这篇博客中,我们将了解 Android 平台是如何不断演变的,特别是在 Android 6.0 Marshmallow 中最近引入的改变对移动恶意软件生态系统会造成什么样的潜在影响。Google 将在 9 月底之前发布 Android 6.0 的最终版,因此这些变化不久之后就会在用户的手机上实现,具体时间取决于设备的制造商或运营商。
现在我们来介绍一些概念,这些概念有助于了解即将到来的操作系统更新对移动勒索软件会造成什么样的影响。
Android 中的勒索软件如何运行?
虽然这个问题可能会有许多答案,不过,绝大多数 Android 勒索软件变体中最常用的技术是利用“SYSTEM_ALERT_WINDOW”权限来锁定受感染设备的屏幕。这些威胁很大程度上依赖于这一权限,因为这使得应用程序可以打开系统类型的窗口并将其显示在所有其他应用程序或窗口的顶部。
如下图所示,感染了 Android.Lockdroid.E 的设备在线性布局中显示 WebView(一个显示网页的视图),布局类型设置为“TYPE_SYSTEM_ALERT”用于创建系统警报类型的窗口。
图 1. 布局属性(左侧)设置为“TYPE_SYSTEM_ALERT”可以创建系统警报类型的窗口(右侧),锁定设备
此外,特定俄语的勒索软件变体还会使用“系统错误”或“系统覆盖”类型的窗口,这些窗口也会叠加在设备中显示的所有其他窗口之上,如图 2 中所示。
图 2. 俄语勒索软件通常使用系统错误类型的窗口锁定设备屏幕
一般而言,勒索软件变体使用系统类型的窗口(系统警报、系统错误或系统覆盖)来创建锁定的屏幕,可以显示在所有其他窗口的顶部。
在 Android 中,如果任何应用程序尝试创建系统窗口,则必须从设备的用户获取 “android.permission. SYSTEM_ALERT_WINDOW” 权限。
正在采取的改变
现在,希望将 Android Marshmallow 作为目标来创建恶意软件的恶意软件作者会发现他们的工作困难提升。经过对 8 月 17 日发布的第三版和最终版的审核,考虑到应于本月内发布的操作系统中的最新变化,恶意软件作者必将面临更大的困难。对于依靠获取前述权限的恶意软件,这些变动会限制其锁定屏幕的能力。
从 Android 的这个新版本开始将实施新的权限模型,应用程序需要根据需求来申请权限。操作系统将提示设备所有者根据需要来确定是否批准应用程序尝试使用“危险”类别(由 Android 开发人员设置)权限的功能。
除了通过这项功能阻碍恶意应用程序作者之外,他们所面临的更大障碍是,最终的 Mashmallow 软件开发工具包 (SDK) 中已经将权限“SYSTEM_ALERT_WINDOW”置于“极为危险”类别。
这意味着,即使勒索软件应用程序将其目标 SDK 设定为 Marshmallow,它仍然需要用户明确授予权限以锁定其设备。如果用户需要授予此权限,就需要在“设置”应用程序中完成一系列不那么直观的步骤,然后才能允许应用程序锁定屏幕。
图 3. 在应用程序的“权限”选项卡上可以轻松启用/禁用的权限
图 4.“极为危险”权限在“设置”屏幕中隐藏,需要用户经过多个步骤才能授予
向后兼容性
这些进步是否意味着可以彻底杜绝 Android 勒索软件?不,当然不能。虽然这些变化从 Android 的角度出发是非常好的,但是勒索软件作者还是可以、并且很有可能会更新其代码,将受害者直接转到此“设置”屏幕,然后使用社交工程骗局欺骗受害者启用此权限。
更重要的是,Android 6.0 的向后兼容性功能可能会向勒索软件提供另一条途径来继续感染运行 Marshmallow 的设备。新权限模型仅在恶意应用程序专门针对 Marshmallow SDK 时才适用。如果攻击者针对以前的 Android SDK(例如 Lollipop),则其勒索软件仍可以通过旧的权限模型在 Marshmallow 设备上运行。
不过,在 Marshmallow 全面发行之后,新模型仍能够对恶意软件作者起到阻碍的作用。
防护
赛门铁克建议用户遵循以下最佳实践来保护自己免受移动勒索软件侵害:
- 避免从不了解的网站下载应用程序,仅从可信来源安装应用程序
- 密切注意应用程序申请的权限
- 安装合适的移动安全应用程序,例如诺顿,以保护设备和数据
- 保持您的软件为最新
- 经常备份重要数据
赛门铁克和诺顿产品将在这篇博客中讨论的威胁命名为: