新闻链接：http://www.freebuf.com/articles/terminal/107079.html
新闻时间：2016-06-20
新闻正文：

    Intel安全团队最近表示，他们检测到恶意代码被发布在数以千计的安卓包里。黑客对这些代码进行组合后，对没有防备的手机用户发起攻击。
    这种攻击被称为“移动端应用协作”（MAC）攻击——「邪恶」的开发者会把恶意代码，分别放进不同的应用程序及共享代码库等地方。无论是安卓还是IOS系统，如果用户在自己的手机上安装了两种或两种以上这些程序，恶意代码会组合起来，黑客们就可以发起攻击。
    因为恶意功能被分割到不同的应用里面，或者通过多种方法进行组合，谷歌或苹果等应用商店进行安全自检时，并不一定能检测出来，因为他们对每个应用都是单独进行测试的。
    MAC常见攻击方法
    第一种方法，他们可以将恶意代码分割到不同的应用中，然后借助移动端系统的内置应用的通信特性，来发起对用户攻击。
    黑客只有在确定他们能诱使用户安装两个及以上的应用时，才会使用这种方法。因特尔表示，开发者对应用采用捆绑安装的分布手段，可能就采用了这种策略。
    第二种方法，他们会在共享代码库里下功夫，比如SDK。黑客开发了一些恶意的SDK，然后把其分散在开发人员的程序中。某一个应用可能使用了该SDK的一部分，然后其他应用各使用了一部分，拼凑起来就是一个整体了。
    黑客还可以在SDK的各种包中隐藏一些恶意函数，当含有该SDK恶意函数的应用被装在手机中时，黑客就可以借此实行他们的攻击，拿下这台智能手机。
    第三种方法，依赖于一个单独的恶意手机应用，它会根据设备上其他应用的漏洞进行攻击。这个方法并不是单纯的“移动端应用协作”，更多的是单方面的强制“协作”，因为在漏洞利用过程中实际上只存在一个恶意应用。
    从理论转向实践
    研究人员表示，这种“移动端应用协作”攻击至少已经持续一年了，部分研究人员已经联手组建了ACiD项目，旨在检测移动端应用的这种协作攻击。
    Intel McAfee实验室表示，在测试过程中他们在21种移动端应用里检测了5000多个安装包，黑客利用“移动端应用协作”攻击进行了提权，绕过了系统限制，并执行了恶意操作。
    在他们发现的恶意应用中，这些应用都使用了由百度提供的广告SDK中的函数，即去年由趋势科技检测出的Moplus。
    自动化检测？很难
    Igor Muttik表示：
    “协作的特性是软件隔离的通用性难题，这个问题存在于所有实现软件沙盒的环境，从其他移动端操作系统到服务器的虚拟机环境。”
    由于安卓和IOS里的应用，大多数都是通过显式或隐式进行通信，这使得分析更加困难。在大多数情况下，检测这种应用的唯一方法，只有手动分析代码。
研究人员投入了一系列测试来检查”移动端应用协作“攻击。尽管他们已经尽了最大的努力，目前还是有3%的误判和2.5%的漏判。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)