Android提供了各种正常接口供应用进程驻留,正在成为恶意应用开发者的新目标。
“伞”。
恶意开发者通过恶意利用Android进程keep-alive创建大量流氓应用,不仅给用户带来资费损害、隐私泄露等严重后果,而且还会造成移动设备电池快速消耗、手机卡顿等问题。
损害用户对 Android 的使用。
设备的用户体验。
近日,腾讯安全反欺诈实验室发布《Android进程保护研究分析报告》(以下简称《报告》)指出,随着Android系统获取Root的难度越来越大,不需要Root的进程保护成为了新的攻击目标。
黑色产品攻击。
恶意利用进程保活的应用程序主要分为三类:流氓广告、恶意扣费和风险软件。
《报告》显示,在恶意利用进程保活的应用中,流氓广告占比最高,占总数的66%,其次是恶意扣费和风险。
软件分别占18%和16%。
从进程保活病毒类型来看,系统事件触发防护方式中Movers、DisguishedAd、Bombard病毒家族分别占30%、27%、16%; Chacha SDK和Mobo病毒家族均采用二进制文件保护方式。
占比12%和1%;通过jobSchedule接口和双进程防护方法,RottenSys和Romdown病毒家族的比例达到11%和3%。
(主要恶意利用进程保活的病毒比例)以Magiclamp病毒为例。
该病毒通常伪装成一些破解的游戏和工具软件,通过主流应用市场和一些软件下载网站传播。
一旦用户被感染,病毒会通过云端下发保活子包,强制用户安装应用程序,并通过云端下发配置,通过配置参数发送给服务器,下载保活子包-打包、进行广告骚扰等各种恶意操作。
(Magiclamp病毒推送骚扰广告)《报告》指出,由于市场占有率较高的系统版本(5.0及以上),攻击者获取Root权限的难度较大。
黑产品往往采用进程互保、开源框架、新系统开放等方式。
通过API接口等方式实现病毒进程防护。
对于较低版本(5.0以下),Root方案更多的是用于将文件植入系统目录来防范病毒进程。
腾讯TRP-AI反病毒引擎实时精准拦截并保护用户终端安全进程。
常驻设备已经成为很多黑应用利用的一种方式。
《报告》建议企业加强自身信息安全管理,如开放接口、系统漏洞、洗白应对等。
名单审核等安全检测,同时监控分析系统API的使用情况,捕捉违法行为。
针对当前Android市场环境下恶意应用层出不穷的情况,腾讯安全推出了自主研发的TRP-AI反病毒引擎。
通过对系统层敏感行为进行监控,利用成熟的AI技术深度学习应用行为,可以有效识别包含恶意风险行为的软件并实时拦截恶意行为,为用户提供更加智能的实时终端安全防护。
目前,该引擎技术的部分成果已应用于腾讯手机管家云引擎,可有效保障用户的网络安全。
。
同时,腾讯安全反欺诈实验室基于海量样本APK数据、URL数据和手机号码黑库建立了沉阳情报分析平台,可根据恶意软件的恶意行为进行聚类分析和溯源追踪,传播网址和样本信息。
恶意软件背后的开发者从黑色产业链的源头进行精准打击。
对于Android用户来说,养成良好的手机使用习惯,防患于未然仍然是有效的防御措施。
《报告》提醒用户不要随意在网页上输入敏感个人信息,不要点击来历不明的链接下载软件,选择正版APP产品和服务,通过安全正规渠道下载安装;当手机在使用过程中出现异常发热或运行卡顿时,及时使用腾讯手机管家等安全软件进行扫描检测,可以有效拦截大部分恶意攻击,保护个人设备和财产安全。