什么是“移动端应用协作”（MAC）攻击？

Intel安全团队最近表示，他们检测到恶意代码被发布在数以千计的安卓包里。黑客对这些代码进行组合后，对没有防备的手机用户发起攻击。

这种攻击被称为“移动端应用协作”（MAC）攻击——「邪恶」的开发者会把恶意代码，分别放进不同的应用程序及共享代码库等地方。

无论是安卓还是IOS系统，如果用户在自己的手机上安装了两种或两种以上这些程序，恶意代码会组合起来，黑客们就可以发起攻击。

因为恶意功能被分割到不同的应用里面，或者通过多种方法进行组合，谷歌或苹果等应用商店进行安全自检时，并不一定能检测出来，因为他们对每个应用都是单独进行测试的。

MAC常见攻击方法

黑客发动协作攻击时，可以采用以下三种方法：

第一种方法，他们可以将恶意代码分割到不同的应用中，然后借助移动端系统的内置应用的通信特性，来发起对用户攻击。

黑客只有在确定他们能诱使用户安装两个及以上的应用时，才会使用这种方法。因特尔表示，开发者对应用采用捆绑安装的分布手段，可能就采用了这种策略。

第二种方法，他们会在共享代码库里下功夫，比如SDK。黑客开发了一些恶意的SDK，然后把其分散在开发人员的程序中。某一个应用可能使用了该SDK的一部分，然后其他应用各使用了一部分，拼凑起来就是一个整体了。

黑客还可以在SDK的各种包中隐藏一些恶意函数，当含有该SDK恶意函数的应用被装在手机中时，黑客就可以借此实行他们的攻击，拿下这台智能手机。

第三种方法，依赖于一个单独的恶意手机应用，它会根据设备上其他应用的漏洞进行攻击。这个方法并不是单纯的“移动端应用协作”，更多的是单方面的强制“协作”，因为在漏洞利用过程中实际上只存在一个恶意应用。

从理论转向实践

研究人员表示，这种“移动端应用协作”攻击至少已经持续一年了，部分研究人员已经联手组建了ACiD项目，旨在检测移动端应用的这种协作攻击。

Intel McAfee实验室表示，在测试过程中他们在21种移动端应用里检测了5000多个安装包，黑客利用“移动端应用协作”攻击进行了提权，绕过了系统限制，并执行了恶意操作。

在他们发现的恶意应用中，这些应用都使用了由百度提供的广告SDK中的函数，即去年由趋势科技检测出的Moplus。

自动化检测？很难

Igor Muttik表示：

“协作的特性是软件隔离的通用性难题，这个问题存在于所有实现软件沙盒的环境，从其他移动端操作系统到服务器的虚拟机环境。”

由于安卓和IOS里的应用，大多数都是通过显式或隐式进行通信，这使得分析更加困难。在大多数情况下，检测这种应用的唯一方法，只有手动分析代码。

研究人员投入了一系列测试来检查”移动端应用协作“攻击。尽管他们已经尽了最大的努力，目前还是有3%的误判和2.5%的漏判。

参考文章

McAfee实验室威胁报告：2016-06

安卓协作的阴谋

安卓恶意软件：彼分我克

走进自动化的安卓协作检测

*参考来源：SP，FB小编dawner编译，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）