Hacking Team數據泄露事故表明，偽裝Android應用可通過使用動態加載技術繞過Google Play Store中的過濾功能。這種攻擊的工作原理是什么，用戶和企業可如何檢測這些惡意應用?

[[161725]]

Michael Cobb：備受爭議的IT安全公司Hacking Team淪為網絡攻擊的受害者，攻擊者宣布他們正在通過Hacking Team自己的Twitter賬號將其客戶文件、合同、財務資料和內部郵件提供公眾下載。(該公司專門向政府、執法機構和企業銷售“攻擊性”入侵和監控工具及服務，這400GB泄露數據向我們揭露了政府和企業監控及間諜活動的精彩世界。)

在這些泄露的文件中還包含文件解釋如何使用Hacking Team的軟件，以及某些應用的源代碼。安全軟件公司Trend Micro研究人員在這些數據中發現了惡意Android應用樣本，該應用偽裝成新聞app，并使用BeNews作為名稱(這是現已解散的新聞網站的名稱)，這個app看似合法，并且，該應用不包含漏洞利用代碼，在安裝時只要求三個權限。這種無害的偽裝讓它可通過Google Play的審批過程。然而，在安裝該應用后，它會使用動態加載技術執行額外的代碼。

動態加載讓應用只加載需要的組件，在某些相關組件不總是需要時，這種被用來減小可執行文件的大小以及提高性能。在這個假Android應用的情況下，這種技術被用來延遲惡意代碼的加載，直至app通過審核以及被安裝。它安裝Hacking Team的RCSAndroid監控程序，這被安全專家認為是最復雜的Android惡意軟件。它可捕捉屏幕截圖、監控剪貼板中的內容、收集密碼、聯系人和信息，并可使用手機的麥克風錄音。該app利用了特權升級漏洞—CVE-2014-3153，這是Android 2.2到4.4.4中存在的漏洞，用以繞過設備安全以及允許遠程攻擊者訪問。

在從Google Play移除之前，這個假的BeNews應用被下載多達50次，現在這個應用以及Hacking Team的其他軟件的源代碼已經公開，網絡罪犯肯定會利用它來添加新的或改進的功能到他們自己的攻擊工具。不過，從好的方面來看，泄露的數據包含大量信息可供安全研究人員用于調查從未被披露或修復的其他漏洞。Hacking Team也建議可使用沙箱技術來阻止攻擊者利用漏洞攻擊設備。希望這將鼓勵供應商開發更好的工具以及更多地利用這種緩解技術。

企業應該通過安全消息推送隨時了解這個快速變化的移動安全環境，并確保聯網的移動設備保持更新和修復。現在有很多移動保護套件可提供額外的保護以防止惡意應用繞過app store和OS安全措施，這包括Trend Micro的Mobile Security for Android、ESET Mobile Security for Android以及McAfee Mobile Security，這些都是企業版本。