[IT-Security-2] 行動惡意軟體 Mobile Malware

Mobile Malware

Notes from RWTH Aachen University course 
“IT security 2” Wintersemester 2019/20
professor: Meyer, Ulrike Michaela

 Mobile的安全機制

• Access right通常被限制
• 為了加強access right，通常用sandbox 
  • seperate applications
  • Capsulates(膠囊) access to system resouce
• 只有簽章後的程式可以執行(可以追溯malware作者)
• Service connection(允許OS的作者可以刪除app)
• Appstores(第三方app可以被market operator控制)
•  Android
  • sandbox, access right
    相同作者的app可以共享資料及存取權
  • Code signing
    沒有強制central certification authority for public keys
    malware作者用不同的key就不能被追蹤

    只能偵測 unauthorized updates

  • Access rights
    早期只能all-or-none
    較新的版本可以部份選取
•  iOS
  • Code signing
    • 需要向Apple註冊public key
  • Appstore
    • 只有從Apple Appstore下載的app可以執行

    因這些限制使得使用者用 Jailbreaking

 Mobile malware and Android

•  為何Android會吸引Malware
  • 分布廣, 市占大(large market share)
  • 不管制app發行
  • Open platform
  • update困難
    • 多個製造商
    • 使用者不更新
•  感染途徑: Download and Install
  • 使用者下載malicious app(free, new update, 從第三方取得)
  • 用vulnerability取得access right
  • Drive-by-download
    • 利用瀏覽器弱點感染手機
    • 使用者點擊link

    使用者會下載unsolicited(不請自來的) APK

 Observed Malicious Functionality

• 有利益
  • 撥打付費電話
  • app購買
  • Spam
• Data theft
  • 竊取資料
• Reloading malware
  • update turns harmless app into malware
  • reload新的功能
• Bot funtionality
  • C&C
• Adware
  • 廣告
• Destructive malware
• Infection of connected computers
• Ransomware
• Trojan banking apps
• Mobile crypto miners

 Comparison to Desktop Malware

• Desktop malware:
  • 破壞性
  • 取得關注
• 2000後
  • 專業
  • 商業
• 現今
  • underground economy
  • 需要高技術
• Mobile malware
• 直接從專業, 商業化開始

Readings

Kaspersky “Mobile malware evolution 2016”

    § https://securelist.com/files/2017/02/Mobile_report_2016.pdf

    § https://securelist.com/mobile-malware-evolution-2018/89689/ 

F-Secure ”Threat report 2015”

Stallings and Brown: ”Computer Security”