ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1475

术语表: /attack/glossary

通过授权的应用程序商店发布恶意应用程序

恶意应用程序是攻击者用来在移动设备上立足的常见攻击向量。移动设备通常被配置为只允许从授权的应用程序商店安装应用程序(例如,Google Play 商店或 Apple App Store)。攻击者可能试图将恶意应用程序放在授权的应用程序商店中,从而使该应用程序能够安装到目标设备上。

应用程序商店通常需要开发人员注册并使用审查技术来识别恶意应用程序。攻击者可以使用这些技术来对抗应用商店防御:

  • 在运行时下载新代码
  • 混淆或加密有效载荷
  • PRE-ATT&CK: 选择前渗透的移动应用程序开发人员帐户凭据或签名密钥
  • PRE-ATT&CK: 测试应用程序商店执行自动移动应用程序安全性分析的能力。

攻击者还可以通过将代码置于恶意应用程序中以检测其是否在应用程序分析环境中运行,如果是,则避免在分析时执行恶意操作,从而逃避审查。

攻击者还可以使用虚假身份,支付卡等来创建开发者帐户,以将恶意应用程序发布到应用商店。

攻击者还可以使用对目标 Google 帐户的控制权来使用 Google Play 商店的远程安装功能将应用安装到与 Google 帐户关联的 Android 设备上。(只有通过 Google Play 商店下载的应用程序才能使用此技术远程安装。)

缓解

缓解 描述
应用程序审查 应用程序商店运营商和企业可以评估应用程序的信誉,包括应用程序或来自同一开发人员的其他应用程序的受欢迎程度,以及是否在同一开发人员的其他应用程序中发现了安全问题。
用户指导 鼓励开发人员保护其帐户凭据并启用多因素身份验证(如果可用)。鼓励开发人员保护他们的签名密钥。

检测

  • EMM/MDM 或移动威胁保护解决方案可以识别设备上存在不需要的、已知的不安全的或恶意的应用程序。
  • 开发人员可以扫描(或代表他们进行第三方扫描)应用程序商店是否存在使用开发人员身份提交的未授权应用程序。