最近幾年，針對(duì)Windows平臺(tái)開(kāi)發(fā)的惡意軟件工具包發(fā)展地很迅速，惡意軟件編寫(xiě)者不斷增加新的功能，提供更強(qiáng)大的自動(dòng)化。雖然企業(yè)安全團(tuán)隊(duì)受到了這些先進(jìn)工具包的挑戰(zhàn)，但是至少他們明白Windows是企業(yè)關(guān)鍵數(shù)字資產(chǎn)的主要通道，并努力確保這條大道的安全性。盡管企業(yè)終端移動(dòng)設(shè)備掀起了大浪潮，Windows還是王國(guó)的大門(mén)，惡意軟件編寫(xiě)者針對(duì)這個(gè)平臺(tái)投入了大量的野心。Obad.a，一種新發(fā)現(xiàn)的Android系統(tǒng)惡意軟件，可能改變這個(gè)認(rèn)知。

在這篇文章中，我們將討論Obad.a為什么值得關(guān)注?它和基于Windows系統(tǒng)的惡意軟件有什么共同點(diǎn)和區(qū)別?企業(yè)可以怎樣減輕這種針對(duì)Android設(shè)備的先進(jìn)新品種惡意軟件的傷害?

解剖Obad.a

卡巴斯基實(shí)驗(yàn)室(Kaspersky Lab)的研究人員是最先揭露Obad.a的具體資料的團(tuán)隊(duì)，他們將Obad.a和基于Windows的惡意軟件相比較，至少目前為止，大家都普遍認(rèn)為Obad.a比之前出現(xiàn)在移動(dòng)平臺(tái)的任意惡意軟件都要復(fù)雜?；仡櫩ò退够芯咳藛T的發(fā)現(xiàn)，可以很容易看到他們對(duì)Obad.a和基于Windows惡意軟件所作出的對(duì)比并不夸張。Obad.a包含一些最先進(jìn)的Windows惡意軟件所具有的的特點(diǎn)：它可以發(fā)送優(yōu)惠短信(類(lèi)似于垃圾郵件)，下載其他惡意軟件，在受感染的設(shè)備上運(yùn)行命令，還可以通過(guò)藍(lán)牙連接攻擊其它設(shè)備?？ò退够鶎?shí)驗(yàn)室的更新報(bào)告中概述了Obad.a是如何傳播惡意短信的。

所有惡意軟件作者都從現(xiàn)有的惡意軟件和漏洞中汲取靈感，然后仔細(xì)思考，在他一直嘗試實(shí)現(xiàn)的功能基礎(chǔ)上為他們的惡意軟件添加一些特定性能，所以移動(dòng)設(shè)備惡意軟件編寫(xiě)者會(huì)仔細(xì)研究成功的Windows惡意軟件來(lái)找尋新的特性這并不奇怪?，F(xiàn)在各種惡意軟件作者開(kāi)始使用專(zhuān)業(yè)的軟件開(kāi)發(fā)實(shí)踐工具，開(kāi)發(fā)新功能的程序都是模塊化的。在許多傳統(tǒng)的軟件開(kāi)發(fā)工程中，編程環(huán)境都從一些程序員的經(jīng)驗(yàn)中抽象出一些平臺(tái)和操作系統(tǒng)的復(fù)雜功能，以幫助發(fā)展新的平臺(tái)和操作系統(tǒng)。

雖然Android設(shè)備上的惡意軟件非常普遍，這是在信息安全界眾所周知的事實(shí)，但是并沒(méi)有多少安全專(zhuān)家意識(shí)到Android系統(tǒng)惡意軟件作者已經(jīng)開(kāi)始將Windows惡意軟件上的一些先進(jìn)功能移植到移動(dòng)設(shè)備上。Obad.a的作者通過(guò)將文件中的字符串加密，混淆代碼，使代碼轉(zhuǎn)換成Java編碼更困難，這樣分析Obad.a惡意軟件二進(jìn)制文件也就變得更困難。

Obad.a還利用兩個(gè)零日漏洞來(lái)進(jìn)一步阻礙分析，保持文件和未列出的惡意軟件相關(guān)聯(lián)，并將自己本身藏在擁有設(shè)備管理員訪問(wèn)權(quán)限的應(yīng)用程序列表之外。Obad.a會(huì)檢查受感染的設(shè)備是否擁有網(wǎng)絡(luò)訪問(wèn)權(quán)限，如果有，它會(huì)下載Facebook主頁(yè)面然后將其作為C&C(命令與控制)地址的解密密鑰。Obad.a有一個(gè)遠(yuǎn)程外殼可以連接到C&C的基礎(chǔ)設(shè)施，然后可以自我更新來(lái)添加新的功能。Obad.a還可以監(jiān)控短信，并執(zhí)行各種命令。

說(shuō)了這么多，其實(shí)Obad.a目前對(duì)于企業(yè)來(lái)說(shuō)風(fēng)險(xiǎn)還是較低，經(jīng)過(guò)卡巴斯基檢測(cè)，其在所有Android惡意軟件感染實(shí)例中只占了0.15%。雖然一般的Windows惡意軟件和這種新的Android惡意軟件之間有很多共同點(diǎn)，但是Obad.a還是缺少一些近幾年針對(duì)Windows系統(tǒng)開(kāi)發(fā)的最先進(jìn)的功能。這些最先進(jìn)的操作包括使用一些方法來(lái)騙過(guò)安裝在設(shè)備上的安全監(jiān)測(cè)工具，以達(dá)到提取存儲(chǔ)密碼，捕獲文本輸入、密碼和其它敏感數(shù)據(jù)的能力。

如何處理先進(jìn)的Android惡意軟件

Obad.a可能僅僅代表目前各種Android設(shè)備的惡意軟件的一小部分，但是企業(yè)必須意識(shí)到日益復(fù)雜的移動(dòng)設(shè)備惡意軟件的威脅性。不幸的是，分散的Android生態(tài)系統(tǒng)對(duì)于廣泛開(kāi)發(fā)的Android漏洞提供的保護(hù)很有限，幾乎是沒(méi)有保護(hù)。Android生態(tài)系統(tǒng)的這種分散性，加上對(duì)移動(dòng)運(yùn)營(yíng)商修補(bǔ)補(bǔ)丁的依賴(lài)使應(yīng)用補(bǔ)丁去修補(bǔ)Android系統(tǒng)惡意軟件所引發(fā)的漏洞是很困難的。

這時(shí)，第三方工具就可以派上用場(chǎng)來(lái)保護(hù)Android設(shè)備，如反惡意軟件的軟件或安全監(jiān)控。企業(yè)或個(gè)人可能想要調(diào)查第三方補(bǔ)丁在Android設(shè)備或者自定義光盤(pán)上的應(yīng)用，或它曾經(jīng)修復(fù)過(guò)的漏洞。但是，應(yīng)用第三方補(bǔ)丁可能會(huì)造成不可預(yù)見(jiàn)的問(wèn)題，比如穩(wěn)定性、支持性甚至潛在的系統(tǒng)安全性，就像應(yīng)用在Windows系統(tǒng)上的第三方補(bǔ)丁所遇到的類(lèi)似問(wèn)題。其實(shí)，補(bǔ)丁的復(fù)雜性和沒(méi)有一個(gè)移動(dòng)設(shè)備管理系統(tǒng)來(lái)管理Android設(shè)備都有可能比Obad.a惡意軟件所帶來(lái)的風(fēng)險(xiǎn)大。

歸根結(jié)底，企業(yè)應(yīng)該采取US-CERT(美國(guó)計(jì)算機(jī)安全緊急應(yīng)變小組)所列出的一些標(biāo)準(zhǔn)步驟來(lái)保護(hù)移動(dòng)設(shè)備對(duì)抗Obad.a惡意軟件，同時(shí)也要提高用戶(hù)的基本安全意識(shí)。根據(jù)卡巴斯基的第一份研究報(bào)告，Obad.a可以提供的唯一可用功能是允許一個(gè)受感染設(shè)備通過(guò)藍(lán)牙來(lái)攻擊另一個(gè)設(shè)備，那么可以通過(guò)禁用藍(lán)牙或只在值得信賴(lài)的環(huán)境下啟用藍(lán)牙就可以消除這種攻擊。提高用戶(hù)的安全意識(shí)，他們就不會(huì)點(diǎn)擊潛在的惡意短信鏈接，那么也可以阻止Obad.a的蔓延。在企業(yè)環(huán)境中阻止Obad.a的蔓延還有一條很漫長(zhǎng)的路要走。