菜单

Android系统中也存在Web注入吗?

2017年1月25日 - 信息安全

有一类专门针对浏览器的攻击,被称为浏览器中间人(MITB)攻击。想要实现这类攻击,方式也非常的多,像恶意 DDL 注入,扩展欺骗或将一些特制的恶意代码注入到浏览器页面中,欺骗代理服务器等。MITB攻击的目的,相比那些较常见的中间人攻击也有所不同。一般的中间人攻击,例如链路劫持投放一些商业性广告,或窃取某些用户量较大网站,用户账户里的虚拟财产为攻击目的。相关报道,可参见 Lurk case。

marcher_en_1.jpg

当MITB类攻击的目标为网上银行时,通常会使用 web 注入攻击。这种攻击,会将一段恶意代码注入到网上银行服务页面中,以此来拦截一次性SMS消息,收集用户信息,欺骗银行详情等。例如,我们巴西的同事发布了一篇,关于用户打印 Boletos 的,条形码欺骗攻击的长篇报告。这篇报告同时也成为了非常受欢迎的银行文档,并被巴西银行和各类企业发行。

与此同时,MITB攻击在俄罗斯近年来呈下降趋势。攻击者正试图寻找一些其它的攻击方法和载体,来攻击银行客户端。对于他们而言,使用一些现成的工具,比自己开发web注入工具要容易的多。

尽管如此,我们还是经常被问到,是否有专门针对Android设备的web注入攻击。这也是我们想要知道的,因此我们正对这方面的攻击做深入的研究调查,并希望能给大家一个相对满意的答复。

Android 下的 Web 注入

尽管术语“注入”常被与移动银行木马联系起来(有时也被一些攻击者,用作数据窃取的参考技术),Android 恶意软件,是一个完全不同的世界。为了实现计算机上的Web注入工具的相同效果,移动木马的创建者会使用两种完全不同的技术:使用网络钓鱼窗口覆盖其它应用,以及将用户从银行页面重定向到特制的网络钓鱼页面。

使用网络钓鱼窗口覆盖其它应用

这是攻击者们最常用的技术之一,几乎在所有的网银木马上都有涉及。早在2013年,我们就发现了第一个此类覆盖应用的钓鱼木马程序 – Trojan-Banker.AndroidOS.Svpeng。

如今的移动银行木马,常常将自己与Google Play应用商店叠加在一起。这样做的目的就是为了窃取用户的银行卡信息。

marcher_en_2.png

除此之外,该类木马还会经常覆盖那些社交媒体和即时通讯应用,并以此来窃取用户的账号密码。

marcher_en_3.png

然而,移动银行木马通常将目标对准的都是那些金融类的应用程序,主要是银行的客户端程序。

以下有三种可选的,针对移动操作系统的MITB攻击方法:

1.攻击者通过制作一个定制的木马窗口,来覆盖其它应用程序的窗口。例如,Acecard 家族的移动银行木马就使用了这种方法。

marcher_en_4.png

2.通过一个位于攻击者服务器上的网络钓鱼页面,覆盖用户应用程序。这样攻击者,便可以随时修改其内容。例如, Marcher家族的银行木马就使用了这种方法。

marcher_en_5.png

3.下载钓鱼模板页面,并通过修改图标和名称将其伪装成目标应用程序,欺骗用户。Trojan-Banker.AndroidOS.Faketoken 就利用了这种方式,攻击了超过2000多款的金融类应用程序。

marcher_en_6.png

值得注意的是,从Android 6.0开始,FakeToken木马想要覆盖其它应用程序,则必须弹框请求用户以获取特权,然后才能实现覆盖。随着Android新版本的不断普及,越来越多的移动银行木马开始请求这样的特权。

从银行页面重定向到特制的网络钓鱼页面

我们仅能在 Trojan-Banker.AndroidOS.Marcher 家族中,识别到这种技术的使用。最早版本的此类重定向木马,是在2016年4月之后被发现的,最新版本为2016年11月上半年出现。

下面让我来简单介绍下,页面重定向钓鱼技术它的工作方式。该类木马首先会修改订阅浏览器书签,包括更改当前打开的页面。这样木马就能获取到当前打开页面的信息,如果打开页面恰好为其攻击的目标之一,那么它将会在同一浏览器中重新打开一个克隆的钓鱼页面,同时将用户强制重定向到该页面。

将用户从银行的网页重定向到网上诱骗页面的工作方式如下。木马订阅修改浏览器书签,其中包括当前打开的页面的更改。这样木马知道哪个网页当前打开,如果它恰好是目标网页之一,木马会在同一浏览器中打开相应的网页仿冒页面,并将用户重定向到那里。我们已经发现了,有超过100多个属于Marcher家族木马的金融机构克隆页面。

然而,有两点需要说明:

这些被我们检测及公布出来的方法技术,Marcher木马已不再使用。

除此之外,它还会结合使用钓鱼页面窗口覆盖其它应用的方式。

那么,为什么只有这类网银木马,采用重定向钓鱼的方法,又为什么这种技术在新版的网银木马上被摒弃呢?有以下几个原因:

在Android 6.0及更高版本中,这种技术已不再有效,这意味着受害者的数量将大大减少。例如,在使用卡巴斯基实验室移动安全解决方案的用户中,大约有30%的用户,目前使用的为Android 6.0或更高版本的操作系统;

该技术只适用于少数特定的移动浏览器。

隐蔽性差。用户很容易就能发现自己被进行了重定向,并且通过地址栏URL也能被轻易识别出来。

使用root权限启动攻击

当木马程序获取到了root权限,那么它就可以执行任何类型的攻击,包括浏览器恶意注入攻击。虽然我们无法找到该类情况的案例,但是以下几点应该引起我们的注意:

Backdoor.AndroidOS.Triada 的一些模块,利用超级用户权限,可以替换某些浏览器中的网站。我们发现的所有此类攻击,都是为了从广告商那赚钱,而不是窃取用户的银行信息。

拥有超级用户权限的 Trojan-Banker.AndroidOS.Tordow 网银木马,可以窃取用户保存在浏览器中的账号密码,这其中也可能也包含金融网站的密码。

总结

我们可以说,尽管那些针对银行的攻击者有技术能力,实现对移动浏览器或移动应用程序的恶意注入,但是他们一般不会这么做。更多的时候他们是通过这种技术,来投放一些虚假广告信息,并以此牟利。但即便这样,攻击者也需要定制高度复杂的恶意软件才能实现。

那么,为什么攻击者会放弃这种攻击手段?最大的可能,是因为移动浏览器和应用程序的多样性。这就要求攻击者,不得不大量的修改代码和增加代码量。要知道,这是相当耗时耗力,并且需要大量的资金投入才能完成的。而简单而又实用的窗口钓鱼攻击,则不需要这么麻烦。

尽管如此,Triada和Tordow的例子表明,随着攻击者技术的不断改进,类似的攻击可能会在不久的将来,切实的发生在我们身边。

发表评论

电子邮件地址不会被公开。 必填项已用*标注