起底安卓病毒“寄生推”：如何感染2000萬手機(jī)用戶

300余款知名應(yīng)用軟件被感染、受影響用戶高達(dá)2000余萬，2018年以來，首起千萬級(jí)感染量惡意推廣方式——“寄生推”惡意推送信息的軟件開發(fā)工具包（SDK），近日被騰訊安全成功捕獲。經(jīng)騰訊安全專家分析發(fā)現(xiàn)，該SDK已經(jīng)被多款百萬級(jí)別用戶量的應(yīng)用集成使用。根據(jù)騰訊安全反詐騙實(shí)驗(yàn)室大數(shù)據(jù)顯示，已有數(shù)十萬用戶的安卓設(shè)備ROM內(nèi)被植入相關(guān)的惡意代碼，受其影響，用戶設(shè)備會(huì)不斷彈出廣告和應(yīng)用推廣。這些惡意代碼，還具備了繞過應(yīng)用市場(chǎng)檢測(cè)的兒童型，以及混進(jìn)應(yīng)用市場(chǎng)等潛在風(fēng)險(xiǎn)。騰訊安全已經(jīng)就此事件，第一時(shí)間向社會(huì)發(fā)布預(yù)警，同時(shí)針對(duì)應(yīng)用開發(fā)者、應(yīng)用市場(chǎng)、用戶分別提出安全建議和防范手段，避免事態(tài)進(jìn)一步惡化。“寄生推”存在已半年 海外安卓用戶受波及從PC時(shí)代至今，惡意推廣始終是不法商家、黑產(chǎn)團(tuán)伙謀取非法利益的重要渠道。在“寄生推”SDK被捕獲之前，國(guó)內(nèi)已經(jīng)出現(xiàn)過盜取用戶流量、推送惡意廣告鏈接、竊取用戶信息等問題。曾經(jīng)一度備受廣告商推崇的嵌入式廣告SDK,也經(jīng)常受人詬病。某些廣告商為了方便開發(fā)者嵌入自家平臺(tái)的廣告，甚至公開廣告打包器,只要開發(fā)者應(yīng)用該類打包器，就可以制作出嵌有該平臺(tái)廣告的應(yīng)用。而極低的二次打包成本，以及屢屢出現(xiàn)的惡意推廣行為，也在一定程度上助長(zhǎng)了黑產(chǎn)勢(shì)力的氣焰。尤其是在網(wǎng)絡(luò)安全邊界、國(guó)界越來越模糊的當(dāng)下,黑產(chǎn)更是借助先進(jìn)的網(wǎng)絡(luò)技術(shù)，進(jìn)一步攫取不法利益。根據(jù)騰訊安全反詐騙實(shí)驗(yàn)室溯源發(fā)現(xiàn)，“寄生推”SDK從2017年9月份就已經(jīng)開始下發(fā)惡意代碼包，植入惡意代碼到被它成功Root過的用戶設(shè)備上。受影響用戶量在2018年1月逐步達(dá)到高峰，目前已趨于穩(wěn)定。據(jù)測(cè)算，每個(gè)惡意代碼包影響用戶量都在20萬以上。此外，騰訊安全反詐騙實(shí)驗(yàn)室披露的信息顯示，隨著“寄生推”SDK的蔓延，開發(fā)者下發(fā)的惡意代碼影響范圍雖然主要集中在國(guó)內(nèi),但在國(guó)外其它地區(qū)也存在少量的感染用戶。惡意推廣技術(shù)手段升級(jí) 對(duì)抗殺毒軟件隱蔽性更強(qiáng)相較于傳統(tǒng)惡意推廣SDK，“寄生推”SDK的植入更加隱蔽，同時(shí)抗殺毒能力更強(qiáng)。在此之前，騰訊安全反詐騙實(shí)驗(yàn)室團(tuán)隊(duì)依托騰訊安全大數(shù)據(jù)，及騰訊安全反詐騙實(shí)驗(yàn)室自研的TRP-AI反病毒引擎，捕獲到多款知名應(yīng)用，在用戶設(shè)備上存在私自提權(quán)、靜默植入應(yīng)用等惡意操作，并發(fā)現(xiàn)這些應(yīng)用集成的“XX推”信息推送SDK存在重大嫌疑。通過細(xì)致分析，發(fā)現(xiàn)該SDK開發(fā)者可以通過云端控制的方式，對(duì)目標(biāo)用戶下發(fā)包含惡意功能的代碼包，進(jìn)行相關(guān)隱秘操作。（“寄生推”SDK作惡流程）騰訊安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室技術(shù)工程師雷經(jīng)緯介紹，該信息推送SDK的惡意傳播過程非常隱蔽，從云端控制SDK中實(shí)際執(zhí)行的代碼，具有很強(qiáng)的隱蔽性和對(duì)抗殺毒軟件的能力，與“寄生蟲”非常類似，故將其命名為“寄生推”，將該信息推送SDK稱為“寄生推”SDK。據(jù)介紹，“寄生推”惡意推廣技術(shù)，可以讓利用該技術(shù)進(jìn)行惡意推廣的開發(fā)者完全掌握推送控制權(quán)，通過云端任意下發(fā)包含不同惡意功能的代碼包，并且可以實(shí)現(xiàn)惡意代碼包和非惡意代碼包之間的隨時(shí)切換，進(jìn)一步提升其隱蔽性。在用戶手機(jī)中隱蔽安裝后，開發(fā)者就可以通過在軟件后臺(tái)自動(dòng)開啟惡意功能，包括植入惡意應(yīng)用到用戶設(shè)備，進(jìn)行惡意廣告行為和應(yīng)用推廣等，最終實(shí)現(xiàn)牟取灰色收益。雷經(jīng)緯還指出，從“寄生推”SDK的作惡手法來看，惡意開發(fā)者有從開發(fā)惡意App應(yīng)用向開發(fā)惡意SDK轉(zhuǎn)變的趨勢(shì)，新發(fā)現(xiàn)的SDK具有很強(qiáng)的隱蔽性和對(duì)抗殺毒軟件的能力。通過云端控制下發(fā)運(yùn)行邏輯，可以繞過大多應(yīng)用市場(chǎng)的安裝包檢測(cè)和殺毒軟件的蜜罐檢測(cè)，導(dǎo)致受感染的應(yīng)用混入應(yīng)用市場(chǎng)，不僅對(duì)用戶造成了危害，也傷害了部分應(yīng)用的口碑，給應(yīng)用開發(fā)者帶來重大損失。安全形勢(shì)越來越緊迫 網(wǎng)絡(luò)安全需要新思維“寄生推”SDK的爆發(fā)，更加反映出當(dāng)下和未來網(wǎng)絡(luò)安全形勢(shì)的嚴(yán)峻�！凹纳�推”并非個(gè)例，在過去半年時(shí)間中，從騰訊安全聯(lián)合實(shí)驗(yàn)室玄武實(shí)驗(yàn)室發(fā)現(xiàn)的“應(yīng)用克隆”攻擊模型，到如今影響范圍超過2000萬用戶的“寄生推”，都反映出一個(gè)實(shí)質(zhì)性問題：傳統(tǒng)安全思維已經(jīng)難以滿足新形勢(shì)下的安全威脅，各行各業(yè)都需要轉(zhuǎn)換安全思維，才能及時(shí)應(yīng)對(duì)可能出現(xiàn)的威脅。尤其是在物聯(lián)網(wǎng)、人工智能、量子科技涌現(xiàn)的大環(huán)境下，黑產(chǎn)同樣瞄準(zhǔn)新技術(shù)、新模式，作惡手段也在同步升級(jí)。騰訊副總裁馬斌就曾指出，傳統(tǒng)安全防御方式已不適用于移動(dòng)互聯(lián)時(shí)代。PC時(shí)代，互聯(lián)網(wǎng)安全以防為主，漏洞防御只需及時(shí)更新補(bǔ)丁，黑客的攻擊范圍及攻擊手段都相對(duì)有限。而到了移動(dòng)互聯(lián)時(shí)代，用戶現(xiàn)實(shí)生活與數(shù)字生活邊界被打通，生活、服務(wù)場(chǎng)景愈發(fā)融合，再小的安全隱患都有可能引發(fā)全新的用戶、企業(yè)、社會(huì)安全的連鎖反應(yīng)，個(gè)人隱私與數(shù)據(jù)安全的保障需求相當(dāng)緊迫。從 “寄生推”這起網(wǎng)絡(luò)安全事件來看，其帶來的傷害是多方面的，不僅僅涉及用戶，還有廠商、開發(fā)者及應(yīng)用市場(chǎng)。而這也提醒已經(jīng)融入互聯(lián)網(wǎng)生態(tài)的各方，移動(dòng)互聯(lián)時(shí)代，安全思維需要升級(jí)，比任何一個(gè)時(shí)代都更加需要各方的攜手合作，共同合力構(gòu)筑安全防線。

【起底安卓病毒“寄生推”：如何感染萬手機(jī)用戶】相關(guān)文章：

如何選擇安卓廣告機(jī)04-29

如何提升安卓設(shè)備的安全性09-01

安卓實(shí)習(xí)心得01-10

安卓的實(shí)習(xí)心得03-14

豬圓環(huán)病毒與豬瘟病毒混合感染的診治04-30

安卓實(shí)習(xí)心得6篇04-18

安卓畢業(yè)設(shè)計(jì)開題報(bào)告06-24

陳安鴻卓寒假作文04-25

卓牌兒/卓牌子,卓牌兒/卓牌子萬俟詠,卓牌兒/卓牌子的意思,卓牌兒/卓牌子賞析 -詩詞大全08-03

犬瘟熱病毒感染的研究現(xiàn)狀04-28