当前位置 :| 深万弱电>学院>网络安全>

谷歌对Android恶意软件的处理速度加快

时间:2012-11-07

Android恶意软件战争正在升温。10月中旬,移动安全公司TrustGo确认了一个新的木马程序,被称为Trojan!FakeLookout.A,该木马程序隐藏在伪装成移动安全软件Lookout Mobile Security for Android的更新中。

尽管只有不到100名用户感染了Trojan!FakeLookout.A,但危险正潜伏在谷歌Play Store中。虽然目前恶意软件威胁只占微不足道的百分比,但根据McAfee表示,恶意软件的增长正在加速,McAfee近日报道移动恶意软件(主要针对Android设备)样本从2011年的2000个增加到2012年的13000个。

就其本身而言,谷歌表示正在采取重要措施来加强其系统的安全,包括扫描器其应用商店中的恶意软件以及恶意应用行为、沙箱化Android设备上的应用和软件,以及在必要时删除恶意软件(甚至远程删除)。在过去的一周中,根据Android Police网站(该网站对Google Play Store的3.9.16版本进行了APK分析)表示,谷歌正在为其商店开发一个类似反恶意软件扫描仪的软件,该软件将会被安装在用户的设备中。

Android Police对谷歌的开发进行了拆解,他们在代码中发现字符串命令显示恶意软件扫描命令,以及恶意软件警告信息,例如“为了保护你,谷歌已经阻止了这个应用程序的安装”。这一措施发生在谷歌收购免费文件扫描服务VirusTotal的数星期后。谷歌并未对此事发表评论。

对于谷歌可能计划中的新功能,或者扫描功能是否与VirusTotal收购有关联,又或者额外的安全能否成功帮助抑制不断上升的恶意软件浪潮,安全专家们持有不同意见。“截至到今天,关于这个恶意软件检测器如何运作,我们并没有获得具体的细节,因此我们很难判断它的有效性,”Trail of Bits公司安全漏洞情报主管Vincenzo Iozzo表示,“鉴于Android安全和恶意软件的悲惨现状,部署任何阻止恶意软件的保护措施都是绝对的利好消息。然而,如果该方法是基于签名的,就像针对个人电脑的一般杀毒产品一样,我们将陷入无意义的战争中,恶意软件编写者将开始变异较旧的恶意软件样本或者创建新的恶意软件。”

Sophos公司高级技术顾问Graham Cluley表示,没有迹象表明这些Play Store的最新增强功能与VirusTotal有关联。“然而,这可能涉及谷歌的SafeBrowsing API,”Cluley表示,他认为谷歌最近的举措都是在朝正确的方向前进,“谷歌为帮助Android用户更好地抵御Android平台中日益增加的恶意软件而采取的任何行动都是值得鼓励的,特别是当用户从未经授权的来源安装应用程序时。”

Cluley对于谷歌执行恶意软件扫描并不抵触,很多人还类比微软首次开始为其平台提供安全软件和功能,然而,其他人有着不同的观点。“谷歌部署恶意软件检测的两个主要问题是激励和风险的定义。谷歌的核心是一家广告公司,而不是安全公司,”Veracode公司高级安全研究人员Tyler Shields表示,“谷歌的业务在于为广告收集数据,并且受到不断增加的应用数量和数据收集的激励。此外,为广告收集大量情报的侵入式应用程序可能不会被谷歌认为是恶意软件,但对于企业而言,这些应用程序都过于侵扰。”

也许是这样。但至少对于Trojan!FakeLookout.A,当该恶意软件出现时,谷歌就迅速采取了行动,尽管它最终还是进入了谷歌Play Store。根据TrustGo表示,该木马程序窃取用户短信/彩信、视频文件以及用户SD卡上的文件,然后,它将这些文件传输到攻击者控制的远程FTP服务器。TrustGo还表示,它隐藏自身的方法是:将自身的列表从完整的应用列表上移除,在下载应用列表中只留下一个假图标—“Updates”。TustGo首席执行官Xuyang Li表示,该恶意软件于10月15日首次发现,在谷歌得到通知的几小时后,该恶意软件就从其商店被移除。