一项调查在安全打击Ransomware和木马在Android

Tatenda信任Gotora¹,Kudakwashe Zvarevashe²,Pranav南丹³

米科技学生,软件工程的部门,贾瓦哈拉尔·尼赫鲁科技大学、海得拉巴,印度
米科技学生,CSE的部门,贾瓦哈拉尔·尼赫鲁科技大学、海得拉巴,印度
米科技学生,软件工程的部门,贾瓦哈拉尔·尼赫鲁科技大学、海得拉巴,印度

文摘

Android已经移动计算的世界完全不同水平和有说服力的用户和移动设备之间的交互成为可能。尽管这是一个基于Linux的操作系统大多数黑客和网络犯罪已经找到一种方法来操纵他们的最佳利益。最近以来,已发现300多恶意软件类别Android的出现和最致命的Ransomware和木马。Ransomware像Android后卫和木马Andr / Spy-ABN留下了大量的安卓移动设备客户shame-shocked和抢劫。谷歌最近的安全改进Android 4.3版本加强了不必要的应用程序限制但更需要改善,保护用户数据。本文旨在突出移动安全威胁目睹了从2013 - 14,增强战斗技术用于Android 4.3和4.4版本。沙箱云的方法提出了规避日益增长的移动安全问题。

关键字

Android, Ransomware, Android的后卫,木马,沙箱基于云计算的方法,移动安全。

介绍

“物联网”的发展是不可避免的和移动电信行业的绝大多数开花逐步与技术进步。这就带来了许多安全威胁的“新网络桌面”,也就是说,移动网络连接设备(智能手机)在过去的五年。谷歌的Android手机操作系统采取了控制智能手机世界的同时也提供了特殊的与用户交互。Android设备已成为“新热玩具”由于增加网络社交网络,第三方电子商务应用程序开发人员和感知设备的集成。多任务和处理速度不断改善与每个Android设备升级但恶意软件工具包。这使得android移动安全目标网络罪犯[1]。恶意软件可以被视为一种破坏性的软件能够引起故障,进行劝告,针对用户的网络用户隐私盗窃或妥协的同意。Ransomware又有了一个新的方式在Android和造成很多设备,因为用户过失及其苦难与所谓的“免费杀毒”软件[3]。Android 4.3执行10个新特性和Android 4.4提高2。有深刻的解决方案,介绍了停止的安全威胁和第七节expagorated可能提出的基于云计算的方法。

下面的图1[1]演示了各种类型的威胁已经发展在过去的五年中,震撼了android市场有这么多危害,android用户灌输缺乏信任。监测利用相机或病人监控短信或通话记录和攻击者使进步的利用。第三章解释了僵尸网络活动。模拟是应用与欺骗的希望移动用户身份盗窃。金融类别包括Ransonware和假从用户应用程序使用劝钱,第三章阐述了。数据窃取包括人的使用浏览器攻击和木马从移动设备中提取数据或银行交易,第三部分中解释)。

2013 - 14的主要安全威胁

答:Ransomware

Android设备越来越容易受到类似技术的创建目标窗口。一个新型的威胁之一是“Ransomware”。简单地说,ransomware将加密用户文件系统或它的某些部分将锁的基本功能。它将要求赎金(现金)从业主的设备访问。2013年6月,第一次ransomware称为“Cryptolocker”被发现。这是针对android设备。隐藏在杀毒软件的名称叫做“Android后卫”,这个程序要求100美元unencrypt文件系统和恢复您的重要数据。它使用各种各样的战术;其中一个非常专业的外观和感觉的UI,和常见的社交网络登录。一旦政府特权保护设备免受病毒,这是在恶意软件启动时产生破坏。 It registers itself as broadcast receivers for all major system wide intents like making a call, changing setting, killing tasks, install/uninstall apps or can even perform factory reset. It will even disable the Back/Home buttons and constantly present the owner with the threat of fake existing virus which requires payment offer to be made to restore the system. By the end of 2013, mutated ransomware appeared in the android world, “Android.Fakedefender” dubbed by Symantec. If registered to install it will setup a service to communicate with the server and run on-demand code. Even if one ignores to install the defender, the app can change operating system settings, prevent other apps from running, making the system crash and shows the fake system infected messages as shown in Fig2.1 [1] [3] [4][5] [6].

同样,出现在2013年的著名ransomware特洛伊被称为“Obad”。它可以攫取的电话账单溢价短信发送给木马所有者。它会询问管理员的特权com.android.admin名义。它很小和黑人的屏幕10秒激活蓝牙和蔓延到附近的设备。而且,后门木马下载一个家庭。卡巴斯基报告到目前为止是最复杂的木马在android和分布的移动僵尸网络。谷歌已经修补漏洞,允许Obad藏在Android 4.3设备管理员列表中。但是所有之前版本的威胁仍然开放,除非一个显式安装McAfee隐藏管理工具或卡巴斯基实验室管理工具[7]。

b警察木马

警方木马是ransomware的一种形式,而不是赎金指出,显示警告,声称来自当地或国家执法机关。”科尔。”是新android警察发现木马Kafeine安全法国在2014年5月初博客。一旦安装完毕,恶意软件锁起电话,防止用户访问主屏幕和有效地拿着手机直到用户支付300美元赎金。最近的事态发展表明,它与一个真正的礼物本身安全权力标志如Fig2.2所示。它利用恶意交通分配系统(TDS)传播。恶意TDS检测访问者的浏览器、操作系统和国家住宅从而定向与嵌入恶意网页浏览器开发工具包。访问者的浏览器将被重定向到一个假的色情网站,会触发一个驾车下载在移动设备上。[21]

c . Man-in-Browser

同样,Man-in-browser攻击,被改造为windows移植到android。最后出现的是2013年9月,被称为“Adr / Spy-ABN(另外:Qadars)”。它被设计为盗窃而事务。它拦截的公共密钥所有者和使它自己的事务中给定的会话。这是新的但是已经有针对性的法国,荷兰和印度金融机构[8]。它的前身是“Andr / Spy-ABN(也祖茂堂):“这将捕捉饼干和个人证书从Internet explorer通过注射代码在windows中,和滥用。一旦我们在android登录网上银行门户,它将作为一个反欺诈的应用程序具有讽刺意味的是说银行现在需要一个新的智能手机应用。验证电话号码后,它将发送一个短信链接,实际上是恶意应用程序可以利用你在网上银行证书。扩展工具的出现被称为“黑洞开发工具包”在2012 - 2013年成为所有web的原因25%检测到的威胁Sophos AVG和91%的电脑[9]。这个工具包可以购买和恶意软件可以根据需要定制剥削者[3]。

d .僵尸网络

僵尸网络的业务现在转向android市场。因为大多数移动设备用户现在知识渊博的诈骗邮件和杀毒,僵尸网络正在成为一种手段提供ransomware,点击广告第三方或我的比特币。僵尸网络命名为“Andr / GGSmart-A”(在中国)是一个指挥和控制木马为移动设备。它发送优质短信将带电设备的所有者。利益去僵尸网络用户。这些网络组织和木马作为一个更大的一小部分应用。他们能够保持不活跃的长时间隐藏的所有者和杀毒[10]。Android。呵呵是一个新的Android恶意软件,经常伪装成一个“Android安全”应用但一旦安装,也可以窃取短信拦截电话。

e .版本分裂

它是由不同的用户使用不同的Android版本。这是由于低的延迟或不愿更新补丁版本由设备制造商。例如,超过25%的用户仍然运行Android 2.3,代表一个大安全问题[14]。

安卓4.3和4.4的主要安全特性

Android 4.3版本也叫优柔寡断的人带来了一些不同寻常的安全创新。这些特性已经下面列出,欢迎通过整个安卓第三方供应商[11][12][13]。

答:SELinux

Android 4.3使用的一些概念的SELinux(安全增强Linux)。它是一个强制访问控制系统在Linux中提高UID基础应用程序沙箱。基本上在Android,每个应用程序作为一个单独的用户在沙箱环境中运行。在应用程序的安装,uid分配,分配给每个已安装的应用程序。这使得应用程序更安全。

b . Nosuid

SetUid位是一个重要的标志,可以设置为任何可执行二进制在基于UNIX或Linux操作系统访问根水平。黑客滥用标志应用程序访问系统调用。这些活动可以是恶意的。在Android 4.3操作系统,Android应用程序不能访问SetUid功能。这将减少在Android设备上恶意攻击。

c .钥匙扣及密钥库提供者

加密密钥将存储设备。他们在证书私钥和相应的证书存储。这些键需要获得某些硬件的应用程序。谷歌已经增加了安全功能来创建exclusive-keys只能访问这个应用程序。

d . WPA2-Enterprise网络

Android 4.3提供一个API来创建应用程序,它可以配置无线网络。以前,它是由第三方应用程序。所以,加入接入点和组织凭证可以通过自己的应用程序。

大肠地址空间布局随机化(本)

本简单随机在内存进程映射,所以攻击者只能猜他们恶意载荷最终会。Jon Oberheide二人安全几率现在从1在2到“也许1000。”Every wrong guess will crash their application and the user will uninstall the malicious app.

f .少了一个许可

谷歌还删除了“READ_LOGS”权限,让应用程序读低级系统日志文件。这是用来帮助恶意软件读取敏感信息用户和日志信息可以被滥用。g .总设备完全加密这允许我们加密手机。密码或销需要访问信息在手机里面。完全不可逆过程没有在电话里执行工厂复位。所以记住密码或销对所有者来说非常重要。

h .所有者信息显示在锁定屏幕

如果我们失去了我们的电话,个人不断的消息显示在锁定屏幕帮助人们归还。这增加的可能性,恢复我们的电话。它位于:只是去设置>所有者信息进入千篇一律的消息。

i选项来禁用预装的应用程序

我们不能卸载工厂装载应用程序从我们的手机,但现在它可以禁用新android手机。禁用应用程序不能启动或从手机访问的信息。也可以选择和残疾人的后台进程服务。这可以防止带宽泄漏。同时,应用程序在后台运行是显式的。例如:谷歌地图服务经常访问我们的位置信息,即使它没有运行。但是如果我们禁用服务,只有当我们在前台运行谷歌地图,它将访问位置信息。图3描述了水平应用时必须进行下载从谷歌商店。

j .面部识别

现在Android手机和面部识别解锁功能。如果照明和其他条件不明确,它将请求解锁代码交替。蒂姆•布雷也一个Android开发人员,确认我们不能解锁照片。k . Android 4.4(奇巧)安全改进

1)数字证书:奇巧警报机制警告用户如果一个证书颁发机构(CA)添加到设备,使它容易识别的中间人攻击内部本地网络。同时,谷歌证书将会使复杂的攻击者截获网络流量更难从谷歌服务,确保只有白名单SSL证书可以连接到某些谷歌域名。

2)操作系统硬化:SELinux现在在执行模式下运行,而不是宽松的模式。这有助于执行权限和阻挠特权升级攻击,如利用希望获得根访问。Android 4.4是编译FORTIFY_SOURCE设定为2级,使缓冲区溢出攻击更难实现。

恶意软件可用战斗技巧

预防是更好的治疗;同样避免使用恶意软件坚持主流信赖的应用程序比如谷歌播放存储更安全。Android和许多其他开源软件推广应用的下载和安装几乎任何地方。我们不能排除审查的可能性不一致从而不能被信任。额外的保护一个防病毒应用程序必须安装在Android设备上。

答:迈克菲杀毒和安全与赛门铁克诺顿的移动安全

最熟悉的两个有效据点战士的恶意软件,根据《微电脑世界》(2013)。删除安卓后卫恶意软件诺顿移动安全必须安装在移动设备下载从谷歌商店或诺顿。手机域名的网站。

b . AVG Mobilation

2011年发布的AVG的Android操作系统平台。AVG更新其智能手机杀毒应用程序称为ANTIVIRUSFree,最初用于平板安卓智能手机。它是免费的,有Mobilation项目的关键功能包括在电子邮件扫描病毒的能力,下载,文本或短信和允许用户阻止垃圾短信。它同时支持随需应变和安排扫描,同时提供盗窃保护。使用Android设备的GPS功能,程序可以找到一个平板电脑丢失或被盗,以及远程管理应用程序,锁,擦拭设备的内存。反病毒保护设备免受恶意软件的一部分,使私有数据免受剥削[14][15]。

c .赛门铁克VeriSign身份保护访问(VIP)移动

2011年发布的赛门铁克最初为苹果的iOS平台,但进一步扩展到其他平台,包括安卓和塞班。贵宾提供了额外的一层保护移动设备通过允许用户创建一个额外的“独特的安全代码,”或一次性密码。一旦创建了用户需要输入代码除了通常的密码和登录网站所需的他或她访问VIP网络的一部分。目前,大约750个网站属于VIP网络[16]。

三星诺克斯

这是一个新的android的企业解决方案由三星公司在2013年推出。它保留完整兼容Android生态系统和谷歌虽然整合基本安全和管理增强功能。这使它适合于监管和企业环境。它是基于四个主要资产[17]:

1)平台安全:使用一个全面的三管齐下的策略来确保系统:可定制的安全引导*;确保只有验证和授权的软件可以运行在设备上,手臂®TrustZone®的完整性测量体系结构(事项);在安全的世界,并提供连续完整性监测运行Linux内核,内核内置安全增强安卓(Android SE)访问控制;隔离应用程序和数据到不同的领域

2)应用程序安全性:三星诺克斯容器;企业应用程序提供了企业数据的安全隔离和加密企业在途数据静态(DAT)和数据(说),加密文件系统;使用更安全的和单独的加密文件系统在三星以外的诺克斯容器完全隔离应用程序中,虚拟专用网;提供了一个按需FIPS-certified每个应用VPN提供企业IT管理员能够配置,提供和管理使用VPN在每个应用程序的基础上。

3)移动设备管理(MDM):使企业IT部门监测,控制和管理所有移动设备部署在多个移动服务提供商。提供了额外的安全政策、企业集成和企业应用程序,如资产跟踪、远程控制,等等。

4)企业:三星诺克斯三星诺克斯IT经理;全面的保护企业数据的泄漏,恶意软件和恶意攻击,诺克斯三星员工;对工作和娱乐使用不同的角色,三星诺克斯伙伴;一个更简单的方法来创建企业级移动应用程序。

d .注意

这是一个新的移动安全应用程序是一个pc强大的武器打击恶意软件时代,网络犯罪。大多数用户认为它非常用户友好的和有效的。它有一个4500万的客户基础建设一个强大的、基于云的保护平台。三星把它融进了虚弱的诺克斯提供实时的基于云的解决方案扫描来防止移动威胁电子邮件附件和其他服务[18]。

第六,提出技术

基于云计算的沙盒:本地沙盒已经使用一段时间检查可疑的恶意软件的可执行程序。虽然结果尤其令人印象深刻而系统,完全依赖signaturebased杀毒软件,它有其局限性。图6显示安全提供服务和资源都包含在云平台上。暗示自助服务等所有云原则,弹性和支付当你也在场。它不仅节省成本,还促进BYOD(自备设备)模型。基于云计算的方法[20]具有以下主要优点:

1)基于云的沙箱是免费的硬件限制,因此可伸缩性和弹性。结果,他们可以跟踪恶意软件在一段时间内,数秒或数分钟后几小时或几天而不是构建健壮的恶意软件的目标威胁(例如,使用一个假Mandiant APT1报告),或发现“定时炸弹”袭击需要模拟使用自定义时间和日期(如Shamoon)。

2)基于云的沙箱可以很容易地与任何操作系统类型和版本更新,包括那些没有沙盒的一部分设备的默认设置的图像。企业还可以上传图片和创建自己的自定义环境。

3)基于云的沙箱没有地理限制。例如,攻击者通常目标办公室位于不同的地区比本地运行沙箱(通常是企业的总部)。因此,攻击者不会应对恶意软件,因为它从一个不同的地区进行通信。然而,基于云计算的沙箱避免这种通过允许恶意软件运行来自世界各地不同的地方。

七世。结论和未来的工作

Android设备客户基础越来越强烈地同样是网络犯罪者。从电脑的恶意软件的移动设备不断变异,以满足他们创造者报复。安全战斗远未结束,很多武器已经公布了随着时间的推移,如硬Android所示每个版本的安全更新。果冻豆的SELinux,总设备加密和奇巧的数字证书的创新,都被证明是非常机智。尽管各种可用的安全技术无知在假的客户应用程序和版本分裂依然强劲的威胁。迈克菲杀毒和安全、赛门铁克诺顿的移动安全保护和赛门铁克VeriSign身份访问(VIP)已经暂停了很多ransomware木马在过去三年。企业解决方案如三星诺克斯和注意恢复Android安全信任移动市场。诺克斯平台安全、MDM和注意的实时云扫描将促进BYOD模型从而降低企业运营成本。提出的基于云的沙盒是高度可伸缩的,会降低版本分裂和没有地理限制。的路要走,尽管它需要成熟和赢得更多客户的信任。 There’s a need for future work to implement and analyze the proposed technique.

数据乍一看


图1	图2一个	图2 b

图3	图4	图5

引用

Sophos,“聪明,质疑,更隐秘的恶意软件”,Sophos安全威胁报告2014年,http://www.sophos.com/threatreport。
迈克尔·比彻;费利克斯·c·Freiling;约翰内斯·霍夫曼;托尔斯滕Holz;Sebastian Uellenbeck;克里斯托弗·沃尔夫:“移动安全迎头赶上?揭示的螺母和螺栓的安全移动设备”,IEEE研讨会上安全和隐私,第111 - 96页,2011年。
赛门铁克公司,“互联网安全威胁报告2014”,2013年的趋势,卷19,2014年4月
Ransomware在Android上,[网络]http://www.infoworld.com/t/mobile - security/ransomware - Android - - -只有物质——-时间- 221285。
假AV和ransomware,(在线)http://www.pcworld.com/article/2042693/fake-av-and-ransomware-coming-soon-to-an-android-device-nearyou. html
Android用户虚假安全软件攻击,[网络]http://www.mobilesecurity.com/articles/555-fake-security-software-attacks-android-users
Obad,[网络]http://www.androidauthority.com/obad -最大- - android恶意软件-发现- 2013 324830/
NattakantUtakrit”,对浏览器扩展,Man-in-theBrowser钓鱼技术针对银行客户”,the7th澳大利亚信息安全管理研讨会论文集,第119 - 110页,2009年。
黑洞利用,(在线)http://www.securityweek.com/black-hole-exploit-business-savvy-cyber-gang-driving-massive-wave-fraud。
赛门铁克在历史上最大的僵尸网络之一,(在线)http://news.cnet.com/8301 - 1009 - _3 - 57605411 - 83/symantec -带- - - largestbotnets——之一历史上/
SELinux NSA / CSS研究[网络]http://www.nsa.gov/research/selinux/faqs.shtml
安卓,安卓官方网站,[网络]http://www.android.com/
Android 4.4,[网络]http://www.securelist.com/en/blog/208214116/Android_4_4_arrives_with_new_security_features_but_do_they_really_matter
JC,汤培AVG和赛门铁克的智能手机安全程序的常见问题,雅虎的声音,2011年3月28日,http://voices.yahoo.com/avg-symantecsmartphone-安全-程序-常见问题- 8157497. - html ?猫= 15
Android。Fakedefender[网络]http://www.symantec.com/security_response/writeup.jsp?docid=2013 - 060301 - 4418 - 99 - &tabid=3
赛门铁克,(在线)http://www.symantec.com/about/news/release/article.jsp?prid=20110209_02
三星电子有限公司企业移动解决方案,”白皮书:三星诺克斯™的概述”,2013年6月
注意,[网络]https://www.lookout.com/android
丹尼斯Titze”,一个基于云计算的智能手机安全服务”,硕士论文Informatik, 2012年5月15日。
特拉维夫废料,基于云计算的沙盒:高架的网络安全方法,SecurityWeek恶意软件,2013年11月04,http://www.securityweek.com/cloud-based-sandboxing-elevated-approach-network-security
Cryptolocker-Like Ransomware蔓延到Android设备,(在线)http://www.tomsguide.com/us/cryptolocker-ransomware-android新闻-html 18744.

参考书目

Tatenda信任Gotora:生于1988年获得本科学位在密歇根州立大学计算机科学,2011年津巴布韦。他目前做米科技在JNTUH SE的最后一年,印度。他是一个员工发展研究员。他的研究兴趣是在移动计算领域,android开发,信息安全和web服务。

Pranav南丹:生于1989年获得他的大麻加德满都大学的计算机科学学位,2011年尼泊尔。他目前做米科技在JNTUH SE的最后一年,印度。最近被任命为IBM员工。他的研究兴趣是在云计算领域,android开发和网络编程。

Kudakwashe Zvarevashe:生于1986年获得本科学位在密歇根州立大学信息系统,2010年津巴布韦。他目前做米科技在JNTUH最后一年,印度。他是员工发展研究员。他的研究兴趣是在大数据领域,信息安全,云计算和web服务。

国际期刊的创新在计算机和通信工程的研究