Android系统中也存在Web注入吗？

有一类专门针对浏览器的攻击，被称为浏览器中间人（MITB）攻击。想要实现这类攻击，方式也非常的多，像恶意 DDL 注入，扩展欺骗或将一些特制的恶意代码注入到浏览器页面中，欺骗代理服务器等。MITB攻击的目的，相比那些较常见的中间人攻击也有所不同。一般的中间人攻击，例如链路劫持投放一些商业性广告，或窃取某些用户量较大网站，用户账户里的虚拟财产为攻击目的。相关报道，可参见Lurk case（点击阅读原文查看）。

当MITB类攻击的目标为网上银行时，通常会使用 web 注入攻击。这种攻击，会将一段恶意代码注入到网上银行服务页面中，以此来拦截一次性SMS消息，收集用户信息，欺骗银行详情等。例如，我们巴西的同事发布了一篇，关于用户打印 Boletos 的，条形码欺骗攻击的长篇报告（点击阅读原文查看）。这篇报告同时也成为了非常受欢迎的银行文档，并被巴西银行和各类企业发行。

与此同时，MITB攻击在俄罗斯近年来呈下降趋势。攻击者正试图寻找一些其它的攻击方法和载体，来攻击银行客户端。对于他们而言，使用一些现成的工具，比自己开发web注入工具要容易的多。

尽管如此，我们还是经常被问到，是否有专门针对Android设备的web注入攻击。这也是我们想要知道的，因此我们正对这方面的攻击做深入的研究调查，并希望能给大家一个相对满意的答复。

Android 下的 Web 注入

尽管术语“注入”常被与移动银行木马联系起来（有时也被一些攻击者，用作数据窃取的参考技术），Android 恶意软件，是一个完全不同的世界。为了实现计算机上的Web注入工具的相同效果，移动木马的创建者会使用两种完全不同的技术：使用网络钓鱼窗口覆盖其它应用，以及将用户从银行页面重定向到特制的网络钓鱼页面。

使用网络钓鱼窗口覆盖其它应用

这是攻击者们最常用的技术之一，几乎在所有的网银木马上都有涉及。早在2013年，我们就发现了第一个此类覆盖应用的钓鱼木马程序——Trojan-Banker.AndroidOS.Svpeng（点击阅读原文查看）。

如今的移动银行木马，常常将自己与Google Play应用商店叠加在一起。这样做的目的就是为了窃取用户的银行卡信息。

除此之外，该类木马还会经常覆盖那些社交媒体和即时通讯应用，并以此来窃取用户的账号密码。

然而，移动银行木马通常将目标对准的都是那些金融类的应用程序，主要是银行的客户端程序。

以下有三种可选的，针对移动操作系统的MITB攻击方法：

1. 攻击者通过制作一个定制的木马窗口，来覆盖其它应用程序的窗口。例如，Acecard （点击阅读原文查看）家族的移动银行木马就使用了这种方法。

2. 通过一个位于攻击者服务器上的网络钓鱼页面，覆盖用户应用程序。这样攻击者，便可以随时修改其内容。例如， Marcher家族的银行木马就使用了这种方法。

3. 下载钓鱼模板页面，并通过修改图标和名称将其伪装成目标应用程序，欺骗用户。Trojan-Banker.AndroidOS.Faketoken 就利用了这种方式，攻击了超过2000多款的金融类应用程序。

值得注意的是，从Android 6.0开始，FakeToken木马想要覆盖其它应用程序，则必须弹框请求用户以获取特权，然后才能实现覆盖。随着Android新版本的不断普及，越来越多的移动银行木马开始请求这样的特权。

从银行页面重定向到特制的网络钓鱼页面

我们仅能在 Trojan-Banker.AndroidOS.Marcher 家族中，识别到这种技术的使用。最早版本的此类重定向木马，是在2016年4月之后被发现的，最新版本为2016年11月上半年出现。

下面让我来简单介绍下，页面重定向钓鱼技术它的工作方式。该类木马首先会修改订阅浏览器书签，包括更改当前打开的页面。这样木马就能获取到当前打开页面的信息，如果打开页面恰好为其攻击的目标之一，那么它将会在同一浏览器中重新打开一个克隆的钓鱼页面，同时将用户强制重定向到该页面。

将用户从银行的网页重定向到网上诱骗页面的工作方式如下。木马订阅修改浏览器书签，其中包括当前打开的页面的更改。这样木马知道哪个网页当前打开，如果它恰好是目标网页之一，木马会在同一浏览器中打开相应的网页仿冒页面，并将用户重定向到那里。我们已经发现了，有超过100多个属于Marcher家族木马的金融机构克隆页面。

然而，有两点需要说明：

这些被我们检测及公布出来的方法技术，Marcher木马已不再使用。 除此之外，它还会结合使用钓鱼页面窗口覆盖其它应用的方式。

那么，为什么只有这类网银木马，采用重定向钓鱼的方法，又为什么这种技术在新版的网银木马上被摒弃呢？有以下几个原因：

在Android 6.0及更高版本中，这种技术已不再有效，这意味着受害者的数量将大大减少。例如，在使用卡巴斯基实验室移动安全解决方案的用户中，大约有30％的用户，目前使用的为Android 6.0或更高版本的操作系统； 该技术只适用于少数特定的移动浏览器。 隐蔽性差。用户很容易就能发现自己被进行了重定向，并且通过地址栏URL也能被轻易识别出来。

使用root权限启动攻击

当木马程序获取到了root权限，那么它就可以执行任何类型的攻击，包括浏览器恶意注入攻击。虽然我们无法找到该类情况的案例，但是以下几点应该引起我们的注意：

Backdoor.AndroidOS.Triada（点击阅读原文查看） 的一些模块，利用超级用户权限，可以替换某些浏览器中的网站。我们发现的所有此类攻击，都是为了从广告商那赚钱，而不是窃取用户的银行信息。

拥有超级用户权限的Trojan-Banker.AndroidOS.Tordow（点击阅读原文查看）网银木马，可以窃取用户保存在浏览器中的账号密码，这其中也可能也包含金融网站的密码。

总结

我们可以说，尽管那些针对银行的攻击者有技术能力，实现对移动浏览器或移动应用程序的恶意注入，但是他们一般不会这么做。更多的时候他们是通过这种技术，来投放一些虚假广告信息，并以此牟利。但即便这样，攻击者也需要定制高度复杂的恶意软件才能实现。

那么，为什么攻击者会放弃这种攻击手段？最大的可能，是因为移动浏览器和应用程序的多样性。这就要求攻击者，不得不大量的修改代码和增加代码量。要知道，这是相当耗时耗力，并且需要大量的资金投入才能完成的。而简单而又实用的窗口钓鱼攻击，则不需要这么麻烦。

尽管如此，Triada和Tordow的例子表明，随着攻击者技术的不断改进，类似的攻击可能会在不久的将来，切实的发生在我们身边。

*参考来源 securelist，FB小编 secist 编译，转载请注明来自FreeBuf（FreeBuf.COM）