安卓系统级病毒疫情月报(2017年 - 总第2期)

https://p5.ssl.qhimg.com/t01efee846607a2cad6.jpg

一、概述

Android病毒主要以底层化为发展方向,与传统的加固混淆相比,底层的对抗技术可以为病毒带来更多的可能性。近期出现的大量针对安全软件的病毒说明,一向以伪装防御为主的病毒有转向主动攻击的倾向。

本文主要基于4月份以来Android底层病毒的统计数据,以最近再度活跃的百脑虫家族为重点,分析病毒发展趋势并介绍最近出现的新型攻击方式。


二、近期底层病毒态势

从4月份系统级病毒占比来看,“寄生灵”(ESE.Backdoor..AndNative.Spm)病毒持续活跃占比高达41.30%,以替换系统Debuggerd文件为主的ESE.Backdoor..AndNative.FakeDebuggerd活跃度依旧很高占比达到7.68%,“地狱火”系(ESE.Backdoor..AndNative.Vold和ESE.Backdoor..AnCurl)病毒逐渐进入衰减期。

http://p4.qhimg.com/t015de53d9a8bd3a6f1.png


三、惊现“微信刷榜”病毒

同期,我们监控到一组ESE.Backdoor..AndNative.Msm病毒,该病毒使用ProtocolBuffers与服务器进行通信,具有模拟游览微信公众号内容的功能,病毒作者通过大量僵尸设备对指定(远程命令)微信公众号进行刷量。

http://p0.qhimg.com/t0115b8288234db0a3d.png

“微信刷榜”病毒后台监控数据


四、“百脑虫”2代开始活跃

近期,我们收到多例用户反馈,手机感染了一种难以清除的病毒。该病毒一旦运行,手机设备将不断弹出广告,自动下载、安装和启动各种恶意应用。常规手段无法彻底清除该病毒,手机一旦重启该病毒立刻“复活”,并导致某些安全软件无法响应。

(一) 恶意行为

利用多家Root SDK进行提权,获取手机最高权限后,向系统分区植入Optd、Conbb、Gpsrd等核心文件,并替换系统启动脚本。

http://p8.qhimg.com/t01c3193403c0a8d4f6.png

新变种远程接受控制命令,静默下载、安装和启动恶意应用,并在界面生成诱惑性图标,诱导和欺骗用户点击。

http://p4.qhimg.com/t01901fbfb2ea9827b6.png

病毒一旦运行,将会不断弹出全屏广告,这类广告主要包括色情应用、热门游戏和清理软件,并弹出安装和支付按钮,诱导用户点击。

http://p1.qhimg.com/t01459c6af04f6c4eb9.png

同时我们监控到“百脑虫”2代具有禁止安全软件联网,把病毒自身特征写入到安全软件本地白名单中的恶意行为。

(二) 感染分布

据360互联网安全中心监测到的数据, 2017年1-4月“百脑虫”新变种病毒平均月新增40W,累计感染量已达百万级。其中广东省、河南省、山东省、四川省是感染重灾区。

http://p2.qhimg.com/t016ad71a0cdcc19fc7.png

(三) 传播方式

生活服务类应用和色情诱惑类应用

https://p5.ssl.qhimg.com/t010927f45135a49f58.png

重打包、伪装热门游戏应用和工具软件

https://p5.ssl.qhimg.com/t01f4c8fca697eae32f.png

伪装系统应用,内置系统ROM中

https://p5.ssl.qhimg.com/t017b272781db4a393e.png


五、总结

移动端病毒经历了从应用层到系统底层的重大演变后,替换系统文件、禁用安全软件、多个进程相互守护复活已然成为众多病毒作者的“常规武器”,禁止安全软件访问网络、修改安全软件病毒库已成为病毒作者突破本地防御系统的“新型武器”。

(完)