Skip to content

Latest commit

 

History

History
91 lines (47 loc) · 7.37 KB

2019年Q1 Android Native病毒疫情报告.md

File metadata and controls

91 lines (47 loc) · 7.37 KB

原文链接: https://www.anquanke.com//post/id/177478

2019年Q1 Android Native病毒疫情报告

                            阅读量   
                            **283275**
                        
                    |
                    
                                                        评论
                            <b>
                                <a target="_blank">3</a>
                            </b>

综述

2019年Q1季度,360安全大脑累计监测到Android Native病毒感染量达354.8万,平均每天新增感染用户3.9万。已曝光的病毒依然活跃,Notify病毒家族来势汹汹,“假面兽”病毒更是拉开了64位Android Native病毒蔓延的序幕,安全威胁依然不容忽视。

360安全大脑发现Q1季度Android Native病毒疫情呈现出两大趋势:一是,静态感染技术泛滥,多个病毒均使用了该技术,隐蔽性更强,极大增加了查杀难度;另一个需要特别关注的是,多个已曝光的病毒开始升级64位,预示未来可能是64位Android Native病毒的高发期。

报告主要从病毒态势、热点病毒事件、趋势及安全建议三个方面阐述了2019年Q1 季度Android Native病毒疫情及未来趋势。具体如下:

病毒态势

本季度的病毒家族主要以“长老木马”、“寄生灵”、Notify病毒为主,感染量前四的病毒家族如下:

  1. “长老木马”家族从2015年发现至今依旧活跃,占比32.3%。该病毒变种极多,最新的变种使用了静态感染技术,通过感染系统运行依赖的库文件,并借助样本MD5自变化、文件路径随机化等手段极大提高了查杀难度。
  2. “寄生灵”家族持续高度活跃,占比31.4%,其主要通过广告SDK等方式进行传播,一旦感染,该病毒会立即下载提权文件以获取手机ROOT权限,频繁推送广告,私自发送恶意扣费短信,并注入大量恶意文件到系统底层,防止病毒被卸载。
  3. Notify家族近期异常活跃,占比10.5%。该病毒将自身设置为隐藏文件,通过感染libandroid_servers.so系统库文件,注入系统Phone进程,以实现恶意推广等功能。
  4. “百脑虫”家族逐渐进入衰减期,但占比仍接近7%。该病毒通过云端加载恶意代码,注入Zygote进程并修改framework,将扣费病毒模块注入到所有APP应用中,等待时机进行恶意扣费。 2019年Q1季度 Android Native病毒详细占比情况如下图所示。“长老木马”、“寄生灵”两大家族包揽前两名,二者总占比甚至超过了本季度Android Native病毒感染量的60%,并且两大家族都在持续更新。

感染量方面,1月的感染量最大,感染量高达126.5万;2月相比1月,感染量减少0.8万,差值较小;3月相比2月,感染量下降较为显著,降比达18.4%,Q1季度的病毒感染量总体上呈下降趋势,具体如下图所示。

热点事件

新型Android间谍平台

近期,国外Security Without Borders安全研究团队披露了新的Android间谍软件平台Exodus,360安全大脑对该报告中涉及的Android Native病毒进行了跟踪分析,及时支持对该病毒的专项查杀。

Exodus间谍软件会伪装成移动运营商的服务应用程序,其配备了强大的信息收集和拦截功能(如私自使用麦克风录音、提取通话记录等),并上传上述信息到C&C服务器。更可怕的是,该软件没有任何形式的身份验证,所有与受感染设备共享同一网络的人都可以访问这些数据,因而面临着数据泄露、数据被篡改的风险。

其次,该软件还利用脏牛(DirtyCow)漏洞获取手机ROOT权限,可远程强制执行某些命令,可能会使受感染设备遭受进一步损害。

静态感染技术被滥用

静态感染技术,是指将恶意代码插入到系统运行所依赖的库文件中,使得恶意文件随系统库文件的加载而启动。由于该种启动方式更为隐蔽,继“蜥蜴之尾”病毒在移动安全领域首次使用静态感染技术后,该项技术逐渐流行起来,并被病毒滥用。

例如,近期异常活跃的Notify病毒也使用了此技术,只是感染了不同的系统库文件。

另外,静态感染技术并非32位病毒所特有,64位Android Native病毒世界中同样存在。64位长老木马病毒就是个好例子,其通过感染系统进程启动时所依赖的liblog.so库文件,并在该库文件的导入表中添加恶意launcher的路径,使守护进程随系统启动以执行launcher的恶意代码。

64位Android Native病毒开始蔓延

随着Android手机性能的逐步升级,以及Google要求 App同时兼容64位库的背景下,预期未来兼容64位可能成为一种趋势,在近期爆发的64位Android Native病毒上便有所体现。

360安全大脑近期披露的“假面兽”病毒,更是拉开了64位Android Native病毒蔓延的序幕,其通过伪装热门小游戏、伪装系统软件、色情应用,依靠ROOT提权、HOOK注入等多种技术手段,进行恶意推广、篡改系统文件、非法牟利。

特别需要注意的是,360安全大脑近期发现:寄生灵病毒也有了新的64位变种。

总结

Android Native病毒大多综合了多种技术,具有较强的隐蔽性,静态感染技术的泛滥对Android用户手机安全造成了更大威胁。ROOT提权漏洞仍是病毒实现所有恶意功能最为关键的一环,及时安装Google或手机厂商发布的安全更新补丁是一个行之有效的办法。

此外,多个已曝光的病毒升级64位,预示未来可能是64位Android Native病毒的高发期,360安全大脑保持对Android Native病毒动态的密切关注,并已支持上述病毒的全面一键查杀,如果您担心手机中毒,请及时使用360手机卫士或360手机急救箱进行全面检测。

结合2019年Q1季度 Android Native病毒疫情及未来趋势,为了确保您的个人隐私、财产安全,360安全大脑给出六条建议:

  1. 预防为主:保持手机定期查杀、更新病毒库的好习惯;
  2. 通过正规手机应用市场下载安装APP:Android Native病毒常伪装热门游戏应用、工具软件进行传播,种类繁多,令人防不胜防,通过正规手机应用市场下载安装APP能有效避免中招;
  3. 健康上网:色字头上一把刀,色情应用一直是Android Native病毒的重灾区,大家切勿抱有侥幸心理;
  4. 警惕广告弹窗:诱惑性的广告弹窗也是Android Native病毒的常用伎俩,对于来历不明的广告弹窗一定要格外警惕,切勿随意点击;
  5. 使用厂商官方ROM:第三方ROM刷机包也是Android Native病毒传播渠道之一,市面上的ROM包五花八门,因此切记不要随意下载刷入安全性未知的第三方ROM;
  6. 安装系统更新补丁:安装系统更新补丁可有效降低漏洞利用风险。