移动应用攻击的6个特点，如何做好移动应用安全防护

随着移动互联网时代的到来，许多企业兴起移动App的开发浪潮，各种各样的App数量增长速度很快。越来越多的人习惯使用App解决衣食住行的问题，伴随而来的是更复杂、更新颖的恶意软件攻击。移动应用安全事件频繁发生，据数据调查显示，2021年有25%的企业组织遭受过移动端的黑客攻击和数据泄露，给企业造成巨大的资金损失和品牌声誉损害。

移动应用攻击有哪些特点

一、电话呼叫重定向

电话呼叫重定向是颇具危害的攻击方法。在这种攻击中，攻击者在应用程序安装期间获得呼叫处理权限，通过恶意软件使呼叫者在不知情的情况下，断开用户发起的呼叫连接，并将呼叫重定向至攻击者控制的另一个号码。

由于呼叫屏幕继续显示合法电话号码，因此受害者无法知道通话已被转移到非法的呼叫对象，因此也不太可能采取相应的安全措施，因此会给受害者造成较大的财产损失。

二、窃取通知直接回复功能

2022年2月份，FluBot 间谍软件（版本 5.4）被曝出盗用安卓通知直接回复（Notification Direct Reply）功能的新手法，让恶意软件得以拦截并直接回复其目标应用程序中的推送通知。这种攻击模式让恶意软件可以拦截双因素身份验证码来实施欺诈性金融交易，并在需要时篡改通知的内容。

三、设备端欺诈

恶意软件能够直接控制受害者的终端设备来实施欺诈行为，这种攻击方法被称为设备端欺诈（ODF），它标志着移动应用程序攻击方式的一个重大转变。

四、通过域生成算法规避检测

DGA（Domain Generation Algorithm，域名生成算法）是一种传统恶意软件经常使用的算法，可定期生成大量域名，让 C&C 服务器更加隐蔽，降低攻击发现几率，增强僵尸网络的鲁棒性。2022年年初，Check Point 公司的研究人员在谷歌官方应用商店中发现了多个用于传播 Android SharkBot 银行木马的恶意 APP 应用，也开始采用 DGA 算法来躲避现有的移动安全检测工具。

五、恶意软件功能模块化、流程化

近期发现的 Xenomorph 恶意软件通过结合模块化设计、可访问性引擎、基础架构优化和 C2 协议，已能够实现流程化的功能更新和版本迭代，使其危害性和攻击能力更快速地增长，包括自动传输系统（ATS）功能的实现。将来，更多的移动恶意软件家族会通过更完整的更新模式和流程，在受感染的移动设备上不断启用全新的攻击功能。

六、绕过应用程序商店审查

应用程序商店的审查流程与恶意软件开发人员一直在玩猫捉老鼠的游戏，不过，最近网络犯罪的一些新手法似乎 “更胜一筹”。比如，CryptoRom 犯罪活动利用了苹果公司的 TestFlight beta 测试平台和 Web Clips 功能的缺陷，成功绕过应用程序商店的检测，将恶意软件分发到 iPhone 用户。此外，一些网络犯罪分子也成功绕过 Google 应用商店的安全审查，通过收买合法应用程序的开发者，在其中植入恶意 SDK 模块来窃取用户的个人数据。

我们如何做好移动应用安全的防护

一、移动应用安全事件多数是因为系统漏洞、不安全的编码实践、以及缺少足够的安全检测能力造成的。企业要想应对这些移动应用攻击手法，需要确保网络安全计划中包含了全面的防御手段。包括：多因素身份验证、有效的员工访问控制、移动设备管理解决方案等。

二、为了更快地发现漏洞，企业安全团队需要在移动业务开发生命周期加强对应用的测试，并且监控部署所有移动应用，这样才能降低重大移动应用安全事件的几率。

三、企业要对移动开发人员进行相关的培训，并通过动态移动应用安全测试以及加强重视移动应用安全来避免移动应用攻击事件。

总而言之，在移动互联网时代，做好移动应用安全防护需要技术上的安全防护，也需要安全意识和管理能力的提升。很多攻击事件需要利用社会工程学方法，通常以企业员工为突破口。所以，企业要为员工提供网络安全方面的培训，加强员工的网络安全防范意识。