Android为应用提供的各种应用进程常驻的正常接口,正在成为恶意应用开发者新的“保护伞”。恶意开发者通过恶意利用Android进程保活制造了大量流氓应用,不仅给用户带来资费受损、隐私泄露的严重后果,更导致手机设备电池快速消耗以及手机卡顿等现象,破坏了用户使用安卓设备的用户体验。
近日,腾讯安全反诈骗实验室发布《Android进程保护研究分析报告》(以下简称《报告》),指出在安卓系统愈难获取Root的背景下,无需Root的进程保护成了黑产攻击新的目标。
恶意利用进程保活三大类应用:流氓广告、恶意扣费、风险软件
《报告》显示,恶意利用进程保活应用占比最高为流氓广告,达到总数的66%,其次是恶意扣费和风险软件分别占比18%和16%。从进程保活病毒类型来看,使用系统事件触发保护的方式中Movers、DisguisedAd、Bombard病毒家族占比分别达到30%,27%和16%;二进制文件守护的方式中叉叉SDK、Mobo病毒家族占比12%和1%;而通过jobSchedule接口和双进程保护方式中RottenSys、Romdown病毒家族占比达到11%和3%。
(主要恶意利用进程保活病毒占比)
以Magiclamp病毒为例,该病毒通常将自身伪装成一些破解游戏和工具类软件通过主流的应用市场和部分软件下载站进行传播,用户一旦中招,病毒将通过云端下发子包保活,强迫用户安装应用,并通过云端下发配置,通过配置参数发送服务器,下载保活子包,执行广告骚扰等多种恶意操作。
(Magiclamp病毒推送骚扰广告)
《报告》指出,由于市场占有率较高的系统版本(5.0以上),攻击者比较难获取Root权限,黑产比较倾向使用进程相互保护、开源框架、新的系统开放API接口等方式实现病毒进程保护。对于低版本(5.0以下)则更多地使用Root方案植入文件到系统目录守护病毒进程的方式。
腾讯TRP-AI反病毒引擎精准拦截,实时防护用户终端安全
进程常驻设备已成为很多黑产应用利用的途径,《报告》建议企业加强自身的信息安全管理,如开放接口、系统漏洞、应对白名单审核等方面的安全检测,同时对使用系统API进行监控、分析,捕捉非法行为。
针对当前安卓市场环境下层出不穷的恶意应用,腾讯安全推出自研TRP-AI反病毒引擎引擎,通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对应用行为的深度学习,能有效识别带有恶意风险行为软件,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护,目前该引擎技术部分成果已经在腾讯手机管家云引擎中得到应用,可有效保护用户的上网安全。
同时,腾讯安全反诈骗实验室基于海量的样本APK数据、URL数据和手机号码黑库建立了神羊情报分析平台,可以根据恶意软件的恶意行为、传播URL和样本信息进行聚类分析,溯源追踪恶意软件背后的开发者,从黑色产业链源头上进行精确打击。
对于Android用户而言,养成良好的手机使用习惯,防范于未然仍然是行之有效的防御措施。《报告》提醒广大用户,不要随意在网页输入个人敏感信息,不要点击来历不明的链接下载软件,选择正版APP产品和服务,并通过安全正规的渠道下载安装;当手机在使用过程中发生异常发热或运行卡顿时,及时使用腾讯手机管家等安全软件进行扫描检测,可有效阻断大部分的恶意攻击,保护个人设备和财产安全。
