安全行动,只为中国(四)—— 移动安全威胁分析响应处置篇
时间 : 2024年10月06日
国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的历史工作进行汇聚梳理。以总结经验、提炼规律、改善不足,让我们后续的分析和响应工作,能更有效的支撑国家安全斗争。
威胁分析响应,是安天重要的能力频谱。安天面向攻击活动、攻击装备和威胁行为体,展开威胁感知、捕获、分析、处置、溯源、报送、曝光等系列工作,持续推动核心引擎和产品与服务能力迭代改进,有效支撑公共安全治理和国家安全斗争。
安天移动安全公司(武汉)在安天分析响应能力中担当着重要角色。安天移动安全研发了有“国民级”引擎的之称的安天AVL SDK反病毒引擎智能终端版。持续跟踪手机和智能终端侧的APT攻击、恶意代码感染、黑灰产活动等。
今天带来,今天带来,安天应急处置与威胁分析工作轨迹的第四篇——移动安全威胁响应处置篇。
安天移动安全团队深入跟踪应对安卓恶意代码的迅猛增长和安全威胁向智能系统平台的泛化,基于广泛的引擎的嵌入有效遏制了手机恶意代码传播。积极跟踪分析移动安全威胁向企业组织、业务欺诈和技术对抗的全面迁徙,持续分析网络黑灰产活动链条,为相关部门提供治理支撑。安天移动安全团队与安天CERT协同作战,完善在APT攻击分析中的跨多平台情报线索和样本分析能力。在本篇回顾中,将分别围绕移动智能终端下的恶意代码,以及近几年我们提出的移动互联网风险应用行为和生态治理进行要点梳理。
恶意代码
2014.12.31
披露针对恶意应用通过色情内容诱导用户下载并安装运行的样本行为,这些应用不但涉嫌传播淫秽色情内容,还可能执行恶意扣费、恶意推广、窃取用户隐私等操作,造成用户隐私泄露或经济损失。
2015.8.19
披露一款复杂恶意木马,该木马运行后会窃取用户QQ和微信账户、好友列表、消息记录等,同时会利用subtrate hook框架监控键盘输入的任何信息。此外,该应用还会接收云端指令,执行模块更新、删除指定文件等远程控制操作,严重影响系统安全。
2015.10.30
篡改install-recovery.sh脚本的流氓插件程序
披露一款通过篡改手机启动脚本的流氓插件,该插件一旦被加载运行,首先尝试请求超级用户权限,进而恶意篡改手机启动脚本,释放特定重打包应用(应用商店类)到系统应用目录。此外,已释放的重打包应用还会静默上传设备中的系统应用信息到远程服务器,侵犯用户隐私。
2016.2.5
2015年移动威胁态势报告,2015年是移动安全威胁泛化的一年,大量的现象级案例反映了背后的黑科技正在快速发展,并逐步完成从小作坊运作向大数据运用的转变。
2017.12.24
针对Android平台下“核弹级”漏洞Janus(CVE-2017-13156)的原理分析,该漏洞允许恶意攻击者任意修改Android应用中的代码,而不会影响其签名。
风险应用
从2020年起,基于移动威胁呈泛化趋势下,安天移动安全不再局限于过往的传统恶意代码定义范畴的威胁类型,而是以侵害用户权益和用户安全为目的的应用风险的披露。