腾讯安全发布《Android进程保护研究分析报告》 揭秘恶意利用进程保活病毒应用攻击

砍柴网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

Android为应用提供的各种应用进程常驻的正常接口,正在成为恶意应用开发者新的“保护伞”。恶意开发者通过恶意利用Android进程保活制造了大量流氓应用,不仅给用户带来资费受损、隐私泄露的严重后果,更导致 手机 设备电池快速消耗以及手机卡顿等现象,破坏了用户使用安卓设备的用户体验

近日,腾讯安全反诈骗实验室发布《Android进程保护研究分析报告》(以下简称《报告》),指出在安卓系统愈难获取Root的背景下,无需Root的进程保护成了黑产攻击新的目标。

恶意利用进程保活三大类应用:流氓广告、恶意扣费、风险软件

《报告》显示,恶意利用进程保活应用占比最高为流氓广告,达到总数的66%,其次是恶意扣费和风险软件分别占比18%和16%。从进程保活病毒类型来看,使用系统事件触发保护的方式中Movers、DisguisedAd、Bombard病毒家族占比分别达到30%,27%和16%;二进制文件守护的方式中叉叉SDK、Mobo病毒家族占比12%和1%;而通过jobSchedule接口和双进程保护方式中RottenSys、Romdown病毒家族占比达到11%和3%。


(主要恶意利用进程保活病毒占比)

以Magiclamp病毒为例,该病毒通常将自身伪装成一些破解 游戏 和工具类软件通过主流的应用市场和部分软件下载站进行传播,用户一旦中招,病毒将通过云端下发子包保活,强迫用户安装应用,并通过云端下发配置,通过配置参数发送服务器,下载保活子包,执行广告骚扰等多种恶意操作。


(Magiclamp病毒推送骚扰广告)

《报告》指出,由于市场占有率较高的系统版本(5.0以上),攻击者比较难获取Root权限,黑产比较倾向使用进程相互保护、开源框架、新的系统开放API接口等方式实现病毒进程保护。对于低版本(5.0以下)则更多地使用Root方案植入文件到系统目录守护病毒进程的方式。

腾讯TRP-AI反病毒引擎精准拦截,实时防护用户终端安全

进程常驻设备已成为很多黑产应用利用的途径,《报告》建议企业加强自身的信息安全管理,如开放接口、系统漏洞、应对白名单审核等方面的安全检测,同时对使用系统API进行监控、分析,捕捉非法行为。

针对当前安卓市场环境下层出不穷的恶意应用,腾讯安全推出自研TRP-AI反病毒引擎引擎,通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对应用行为的深度学习,能有效识别带有恶意风险行为软件,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护,目前该引擎技术部分成果已经在腾讯手机管家云引擎中得到应用,可有效保护用户的上网安全。

同时,腾讯安全反诈骗实验室基于海量的样本APK数据、URL数据和手机号码黑库建立了神羊情报分析平台,可以根据恶意软件的恶意行为、传播URL和样本信息进行聚类分析,溯源追踪恶意软件背后的开发者,从黑色产业链源头上进行精确打击。

对于Android用户而言,养成良好的手机使用习惯,防范于未然仍然是行之有效的防御措施。《报告》提醒广大用户,不要随意在网页输入个人敏感信息,不要点击来历不明的链接下载软件,选择正版APP产品和服务,并通过安全正规的渠道下载安装;当手机在使用过程中发生异常发热或运行卡顿时,及时使用腾讯手机管家等安全软件进行扫描检测,可有效阻断大部分的恶意攻击,保护个人设备和财产安全。

随意打赏

腾讯回应恶意腾讯安全中心
提交建议
微信扫一扫,分享给好友吧。