商業“間諜”竟可被公開下載,騰訊安全自研TRP引擎精準攔截
責編:mhshi |2018-02-06 10:12:37在移動互聯網迅速發展的今天,網絡安全較傳統PC時代發生了較為深刻的變化,移動端間諜軟件的泛濫帶來了更多新挑戰:移動端間諜軟件的入侵,使得用戶數據信息及個人日常生活隱私面臨極大被盜風險;功能強大的間諜軟件能通過移動設備入侵企業內網,影響企業正常運行;更有一些能力強大的開發組織將手中的間諜軟件作為網絡武器出售給其他國家、地區執法機構以及獨裁政權,對國家安全造成嚴重威脅。
近日,騰訊安全反詐騙實驗室正式發布《2017年Android“間諜軟件”年度總結報告》(下簡稱《報告》),詳細盤點了2017年間諜軟件發展態勢及典型事件,并就間諜軟件的應對及防范措施提出了專業建議。
2017年六大惡性間諜軟件事件沖擊全球信息安全防線
據騰訊安全聯合實驗室旗下的移動安全實驗室、反詐騙實驗室聯合大數據顯示,Android間諜軟件樣本數量近兩年呈上升趨勢,其中2017年較2016年上漲約20%;用戶感染量上升幅度也極為明顯,2017年已突破10萬。
惡意間諜軟件數量在過去一年中急劇攀升,為全球數據信息安全敲響了警鐘。2017年4月,Google和Lookout的安全實驗室報道了一款非常復雜的Android間諜軟件——Chrysao,被攻擊者用來攻擊以色列、格魯吉亞、土耳其和墨西哥等國的活躍分子以及新聞記者;8月,Google披露了一款名為Lipizzan的間諜軟件家族。該間諜軟件家族可偽裝成具備清理功能、備份功能的應用程序來吸引用戶下載安裝,谷歌應用商店中目前發現有20多款應用屬于Lipizzan家族;9月,移動安全公司 Lookout發布了復雜間諜軟件xRAT的報告。xRAT報告指出,該惡意程序可實現探測躲避、刪除指定應用和文件、搜索特定應用數據等先進功能,且攻擊者可實現大部分功能的遠程控制。
隨后,Android Media?Projection 服務爆出高危漏洞,馬上被間諜軟件組織利用,能針對安卓5.0-6.0系統的手機進行屏幕截圖,竊取用戶隱私;國際威脅組織“雙尾蝎”爆出VAMP移動惡意軟件變種“GnatSpy”,能從被感染的設備獲取更多信息,包括SIM卡狀態、電池、內存和存儲使用情況;Skygofree間諜軟件最新變種可通過漏洞侵入用戶設備,黑客可以完全遠程控制受感染的安卓手機。
商業間諜軟件迅猛增長,RAT泛濫加劇手機安全風險
在惡意間諜軟件層出不窮的同時,Android平臺的商業間諜軟件應用增長也非常迅猛,用戶甚至可以直接通過搜索引擎或應用市場獲取相關應用程序下載。
《報告》指出,幾乎所有的商業間諜軟件應用程序都是需要用戶手動安裝到目標設備上,這也是商業間諜軟件與傳統惡意間諜軟件間的根本差別。其中一些商業間諜軟件還會利用設備的管理權限在目標手機上獲得持久性和自我保護功能。而在功能方面,二者沒有太大差異。
(商業間諜軟件與惡意間諜軟件功能對比差異)
雖然商業間諜軟件都表明自身為用戶提供合法的幫助,但很多商業間諜軟件都存在很高的安全風險。一方面,間諜軟件的濫用會侵犯被監控人的隱私,惡化組織成員間的關系;另一方面,由于一些商業間諜軟件的開發者安全意識不足,隱私數據被簡單存儲到服務器后,存在二次泄漏的可能。另外,間諜軟件會增大感染惡意軟件的風險,對手機安全造成影響。
《報告》還指出,隨著惡意間諜軟件和商業間諜軟件的快速增長,很多Android RAT工具也擴散開來。RAT意即遠程訪問木馬,通過這類工具,只需簡單幾步就能制作一個間諜軟件。《報告》認為,RAT的泛濫勢必會導致Android間諜軟件的增長,將對用戶數據隱私安全造成更大威脅。
騰訊自研AI引擎TRP,為用戶提供高智能實時終端安全防護
為進一步保障用戶隱私和財產安全,騰訊安全依托自研AI引擎TRP、神羊情報系統、騰訊手機管家,為用戶打造了高智能的實時終端防護體系。其中,騰訊安全反詐騙實驗室自研AI反病毒引擎——TRP,通過對系統層的敏感行為進行監控,配合能力成熟的AI技術對應用行為的深度學習,能有效識別間諜軟件的風險行為,并實時阻斷惡意行為。
同時,針對惡意軟件開發者,騰訊安全聯合實驗室旗下的移動安全實驗室和反詐騙實驗室基于海量的樣本APK數據、URL數據和手機號碼黑庫建立了神羊情報系統,可以根據惡意間諜軟件的惡意行為、傳播URL和樣本信息進行聚類分析,溯源追蹤惡意軟件背后的開發者,予以精確打擊,保護廣大用戶免受惡意軟件侵害。
對于用戶自身來說,養成良好的手機使用習慣,防范于未然才是保護手機信息安全的更有效措施。《報告》建議,用戶下載軟件時需選取正規渠道,不要安裝非可信渠道的應用和點擊可疑的URL;養成設置手機安全鎖的習慣,如PIN碼、手勢或密碼等,防止其他人非法接觸你的設備;日常及時進行安全更新,并安裝騰訊手機管家等安全軟件,可有效抵御“間諜”侵入。