Android malware använder SSL för kamouflage
Sida 1 av 1
Android malware använder SSL för kamouflage
av Admin ons okt 08, 2014 10:49 am
Android malware använder SSL för kamouflage
Secure Sockets Layer (SSL) och efterföljare Transport Layer Security (TLS) för att tillhandahålla säker krypterad online anslutning mellan en klient och en server. Servern måste hålla för ytterligare autentisering och kryptering certifikat för att bevisa sin identitet direkt och effektivt. Men tekniken har visat sig vara ett tveeggat svärd, eftersom Android malware använder nu SSL för att dölja sina rutiner och för att undvika upptäckt.
Med en SSL-anslutning, kan giltigheten och säkerheten i kommunikationsplanen, vilket är särskilt fördelaktigt, särskilt för tjänster som internetbanker, e-post, sociala nätverk båda sidor. Eftersom dessa kräver säkra tunnlar för datautbyte mellan klienter och servrar. Nu hotar ny fara om användningen av SSL-servrar. Android malware kan använda olika typer av servrar för eget bruk:
Okänd Själv Hosting Server
Malware författare har en egen förtroende chef (som kan välja att acceptera inloggningsdata) och skapa SSL-uttag som gör att de skadliga app litar certifikatet för servern när du använder en okänd Själv Hosting SSL-server. En sådan Pålitlighetshanteraren och SSL-uttag krävs eftersom intyg om malware servern normalt inte ingår i Android OS. Detta tillvägagångssätt medför ofta en massa problem, för om en server eller en domän ändras (ofta som svar på AV-discovery), därefter SSL-anslutningen under kontrollen misslyckas. Malware författare måste uppdatera både certifikatet och kunden appen förbud anslutningen. Slutligen kan säkerhetslösningar enkelt och snabbt identifiera de självsignerade certifikat och statisk server. Därför skadlig programvara sällan använder denna förmåga.
Känd offentliga webbhotell SSL-server
Användningen av välkända offentliga SSL webbhotell servrar är mycket bekvämare. Dessa servrar och domäner är stabila och godkänts. Du har certifikat som är signerade av Trusted Third Party (TTP) certifikatutgivare (CA), och Android OS bekant för dem. Certifikaten är redan i systemet förtroende butiken finns. Författare av skadlig programvara kan förfalska sin identitet och hotell på dessa servrar maligna Tjänster för att ge krypterade anslutningar till infekterade maskiner. Till exempel, är värd en skadlig programvara (AndroidOS_Exprespam.A) en ond back-end-tjänst på ett välkänt webbhotell servrar i USA. Detta ger också HTTPS-anslutningar med ett intyg om att CA har utfärdat RapidSSL. Intyget bemyndigade skadlig app kan lätt över HTTPS till servern för att ladda upp stulna informationen, utan att behöva ändra Trust Manager.
Bekant offentliga tjänster
Android malware kan också använda offentliga tjänster som är kända för attacker. Forskarna hot har funnit tre typer av applikationstjänster som regelbundet misshandlas av Android malware. Dessutom kan angripare helt enkelt börja C & C-attacker, utan att dra uppmärksamhet.
Fördelar med e-post
ANDROIDOS_GMUSE. HNT låtsas vara en filhanterare app. Den skadliga program stjäl användare och enhet information såsom IMEI, telefonnummer och foton som finns lagrade på SD-kortet. När en användare startar applikationen eller telefon omstarter, startar appen en backend tjänst för gäng nämnda data och skicka den till en hårdkodad Gmail-konto.
Google Cloud Messaging
ANDROIDOS_TRAMP.HAT försöker posera som officiell Google-tjänst. Han samlar användarinformation såsom telefonnummer, plats och kontaktlistor. När du kör den registrerar som GCMBroadCastReceiver. Den skadliga appen inlägg sedan de stulna uppgifterna om Google Cloud Messaging. Tjänsten används för C & C-kommunikation. Kommandon som "överför meddelandet", "blockera samtal" och "bli aktuell plats" byts via Google Cloud Messaging.
Populära sociala nätverk
ANDROIDOS_BACKDOORSNSTWT.A kommer till dess C & C attack på Twitter. Det skadliga programmet söker Twitter webbadresser och kombinera informationen som finns med en hårdkodad sträng för att attacker för att skapa en ny C & C-URL. Den stulna informationen skickas till den genererade URL.
Fördelar och nackdelar med SSL
Cyberbrottslingar har några grunder för användning av SSL. Information som skickas över SSL, är svårare att avslöja jämfört med dem i klartext. Använd också angripare delvis på grund av SSL-servrar och tjänster, eftersom det ger mindre svårigheter att få tillgång till. Du kan använda för normala, rättsliga medel, köp en virtuell värd för Webbhotell eller skapa ett nytt konto på Twitter. Det kräver samarbete med server och tjänsteleverantörer för att ta bort de relaterade attacker med webbadresser, e-postadresser, o.s.v..
Eftersom utveckla Android-skadedjur hela tiden, bör användare apps hämta endast från lagliga källor. App Stores kontrollerar tredjepartsprogram som erbjuds är inte lika stränga för skadlig kod. Dessutom måste användarna ha en säkerhetslösning på sin enhet, kan blockera hot.
Google är informerad om dessa problemer.
Secure Sockets Layer (SSL) och efterföljare Transport Layer Security (TLS) för att tillhandahålla säker krypterad online anslutning mellan en klient och en server. Servern måste hålla för ytterligare autentisering och kryptering certifikat för att bevisa sin identitet direkt och effektivt. Men tekniken har visat sig vara ett tveeggat svärd, eftersom Android malware använder nu SSL för att dölja sina rutiner och för att undvika upptäckt.
Med en SSL-anslutning, kan giltigheten och säkerheten i kommunikationsplanen, vilket är särskilt fördelaktigt, särskilt för tjänster som internetbanker, e-post, sociala nätverk båda sidor. Eftersom dessa kräver säkra tunnlar för datautbyte mellan klienter och servrar. Nu hotar ny fara om användningen av SSL-servrar. Android malware kan använda olika typer av servrar för eget bruk:
Okänd Själv Hosting Server
Malware författare har en egen förtroende chef (som kan välja att acceptera inloggningsdata) och skapa SSL-uttag som gör att de skadliga app litar certifikatet för servern när du använder en okänd Själv Hosting SSL-server. En sådan Pålitlighetshanteraren och SSL-uttag krävs eftersom intyg om malware servern normalt inte ingår i Android OS. Detta tillvägagångssätt medför ofta en massa problem, för om en server eller en domän ändras (ofta som svar på AV-discovery), därefter SSL-anslutningen under kontrollen misslyckas. Malware författare måste uppdatera både certifikatet och kunden appen förbud anslutningen. Slutligen kan säkerhetslösningar enkelt och snabbt identifiera de självsignerade certifikat och statisk server. Därför skadlig programvara sällan använder denna förmåga.
Känd offentliga webbhotell SSL-server
Användningen av välkända offentliga SSL webbhotell servrar är mycket bekvämare. Dessa servrar och domäner är stabila och godkänts. Du har certifikat som är signerade av Trusted Third Party (TTP) certifikatutgivare (CA), och Android OS bekant för dem. Certifikaten är redan i systemet förtroende butiken finns. Författare av skadlig programvara kan förfalska sin identitet och hotell på dessa servrar maligna Tjänster för att ge krypterade anslutningar till infekterade maskiner. Till exempel, är värd en skadlig programvara (AndroidOS_Exprespam.A) en ond back-end-tjänst på ett välkänt webbhotell servrar i USA. Detta ger också HTTPS-anslutningar med ett intyg om att CA har utfärdat RapidSSL. Intyget bemyndigade skadlig app kan lätt över HTTPS till servern för att ladda upp stulna informationen, utan att behöva ändra Trust Manager.
Bekant offentliga tjänster
Android malware kan också använda offentliga tjänster som är kända för attacker. Forskarna hot har funnit tre typer av applikationstjänster som regelbundet misshandlas av Android malware. Dessutom kan angripare helt enkelt börja C & C-attacker, utan att dra uppmärksamhet.
Fördelar med e-post
ANDROIDOS_GMUSE. HNT låtsas vara en filhanterare app. Den skadliga program stjäl användare och enhet information såsom IMEI, telefonnummer och foton som finns lagrade på SD-kortet. När en användare startar applikationen eller telefon omstarter, startar appen en backend tjänst för gäng nämnda data och skicka den till en hårdkodad Gmail-konto.
Google Cloud Messaging
ANDROIDOS_TRAMP.HAT försöker posera som officiell Google-tjänst. Han samlar användarinformation såsom telefonnummer, plats och kontaktlistor. När du kör den registrerar som GCMBroadCastReceiver. Den skadliga appen inlägg sedan de stulna uppgifterna om Google Cloud Messaging. Tjänsten används för C & C-kommunikation. Kommandon som "överför meddelandet", "blockera samtal" och "bli aktuell plats" byts via Google Cloud Messaging.
Populära sociala nätverk
ANDROIDOS_BACKDOORSNSTWT.A kommer till dess C & C attack på Twitter. Det skadliga programmet söker Twitter webbadresser och kombinera informationen som finns med en hårdkodad sträng för att attacker för att skapa en ny C & C-URL. Den stulna informationen skickas till den genererade URL.
Fördelar och nackdelar med SSL
Cyberbrottslingar har några grunder för användning av SSL. Information som skickas över SSL, är svårare att avslöja jämfört med dem i klartext. Använd också angripare delvis på grund av SSL-servrar och tjänster, eftersom det ger mindre svårigheter att få tillgång till. Du kan använda för normala, rättsliga medel, köp en virtuell värd för Webbhotell eller skapa ett nytt konto på Twitter. Det kräver samarbete med server och tjänsteleverantörer för att ta bort de relaterade attacker med webbadresser, e-postadresser, o.s.v..
Eftersom utveckla Android-skadedjur hela tiden, bör användare apps hämta endast från lagliga källor. App Stores kontrollerar tredjepartsprogram som erbjuds är inte lika stränga för skadlig kod. Dessutom måste användarna ha en säkerhetslösning på sin enhet, kan blockera hot.
Google är informerad om dessa problemer.
Admin- Admin
- Antal inlägg : 129
Registreringsdatum : 14-05-07
Ort : Umeå -
Liknande ämnen» Forensic verktyg använder iOS systemtjänster för tillgång till data
» Flash 14 innehåller sex luckor, ger AIR x86 Stöd för Android
» Fake ID: certifikat bedrägeri tillåter Android apps för att bryta sig ur sandlådan
» Flash 14 innehåller sex luckor, ger AIR x86 Stöd för Android
» Fake ID: certifikat bedrägeri tillåter Android apps för att bryta sig ur sandlådan
Sida 1 av 1
Behörigheter i detta forum:
Du kan inte svara på inlägg i det här forumet|
|
|