Android进程保护研究分析报告

Google设计Android进程的设计是异常友好的,进程在弗成见或者其他一些场景下APP要相识主动开释,掩护Android系统安然,然而低估恶意开拓者“贪婪”,使用进程保护机制孳生很多地痞利用,破坏系统文件,资费受损,隐私泄露,推送恶意广告,导致设备资本挥霍,破坏系统生态平衡。

安卓系统越难获取Root的背景下,无需Root进程保护成黑产进击目标,恶意开拓人探求其他要领进击,使用双进程保护,新增系统接口等。

恶意使用保活功能的风险软件前三,地痞广告,恶意扣费和风险软件,分手占比66%,18%和16%

基于用户需求及采纳社会工程学道理进行进击,进击要领可分为,利用层,系统开放接口,二进制

利用进程保护滥用主要场景如下:

(1)探求设备破绽获取Root,开释恶意进程保护文件。

(2)使用双管道相互监听,包管双向监听进程是否存活。

(3)调用系统新增接口

第一章 Android进程保活先容

1.1 Android进程保活

Android进程常驻,顾名思义,便是要让利用的进程在内存中经久存在,在内存首要的环境下,

会将一些进程kill ,开释一部分内存,盼望能及时收到消息的APP,必要维持进程持续生动,那么

就必要实施一些保活步伐来包管进程能够持续存活,即 Android进程保活。

1.2 利用保活常用技巧

1.3进程保活规划先容

1.3.1利用层

所谓的老例实用规划便是经由过程本身机制进行保活,利用层api接口,节制Service组件onStartCommand函数返回值。

经由过程Service生命周期接口中,前台办事或重启,在所有能触发onCreate,onDestory的环境下都有效

节制触发前提(蓝牙状态,收集变更,WiFi状态,屏幕亮灭,锁屏解屏,利用安装与卸载)

1.3.2 系统框架

经由过程构造Intent要领拉起恶意办事,这里贴一段某sdk推送的吸收代码,自定义消息中重启Service办事。

植入恶意sdk插件要领,xx.sdk中利用在恶意利用植入成功后,恶意代码包经由过程start Service的要领拉起恶意利用的办事,经久暗藏在用户手机中。

系统开放API 接口,JobScheduler机制唤醒,(系统给5.x以上)接口,系统根据实现准时调用接口通报的进程去实现保活操作,若强制竣过后依然可以正常的启动。

1.3.3本地二进制文件

这里枚举常常在病毒中应用的Daemon二进制文件,保活规划(系统5.0以下)

道理:fork出子进程之后,让子进程成为新的孵化进程,并与其父进的会话组和进程组离开,紧接着便是在子进程中准时去启动java层设置设置设备摆设摆设义务,自定义办事处于保活状态,经久在后台运行。

履行流程图如下:

部分代码片段,二进制文件履行敕令行,am startService–user,利用层java设置设置设备摆设摆设义务

1.4 进程保护技巧运用

第二章 进程保护病毒占比与案例

恶意使用进程保活分类占比

病毒使用保活技巧前三,占比最高地痞广告66%,其次,恶意扣费和风险软件分手占比18%和16%。

进程保活家族七大年夜家族占比

1)满意触发前提(收集切换,连接USB)等要领前置进程,Movers,DisguisedAd,Bombard病毒家族占比最高分手占比30%,27%和16%。

2)植入二进制文件保活要领,植入SH/ELF保活文件到系统目录要领守护恶意病毒进程,如叉叉SDK, Mobo病毒家族分手占比12%和1%。

[1] [2] [3]下一页

3)系统新增接口和双进程保护要领,RottenSys,Romdown病毒家族分手占比11%和3%。

2.1 BanK提款机病毒

当宿主法度榜样首次在运行时,经由过程解锁屏幕触发母包广播事故,从而加载子包并启动代理广播事故

随后在子包中开启母包恶意办事,并触发子包的代理并履行推广下行径。诱骗用户安装病毒。

技巧点阐发:

满意触发前提(准时器,联网改变,屏幕解锁,apk安装和卸载)触发广告办事。

恶意扣费短信记录

2.2 MoBo病毒

病毒经由过程仿冒网速监控器,手机清理对象、和播放器等利用进行传播,一旦用户手机掉慎被感染,该病毒将急速下载提权文件来获取root权限,频繁推送广告看护激活恶意办事,监控短信,私发大年夜量短信,注入大年夜量恶意文件得手机系统用于守护病毒,私自下其他他软件

技巧点阐发:

ELF文件/system/xbin/.pr.io注入恶意文件至手机系统中

用于唤醒病毒主模块进程,并私自下载安装其他软件

2.3 RottenSys 病毒

此病毒软件恶意操作,保活推送子包并加载,获取root并履行插件,私自下载恶意广告插件,推送广告,并动态加载本地子包获取root权限,履行ELF脚本,冒充插件与办事器交互,经久驻内存保活并履行恶意操作。

技巧点阐发:

履行开源框架MarsDaemon来对自身办事进行经久保活

偷取用户信息

2.4 Magiclamp病毒

该平日将自己冒充成一些破解游戏和对象类软件经由过程主流的利用市场和部分软件下载站进行传播,用户一旦中招今后将经由过程云端下发子包保活,逼迫用户安装利用,云端下发设置设置设备摆设摆设,经由过程设置设置设备摆设摆设参数发送办事器,下载保活子包,履行恶意操作。

技巧点阐发:

云端下载恶意子包办事

弹出广告弹框并引诱用户安装,弹出广告骚扰用户

2.5 DisguisedAd病毒

恶意法度榜样名Security Defender,SecurityKeeper,Smart Security,Advanced Boost等名称安然对象,扫描,清理垃圾节省电池,冷却CPU,解锁设备屏幕启动恶意办事,消息推送,WiFi存在安然风险,存在风险提示。

技巧点阐发:

暗藏在利用列表名称

恶意法度榜样暗藏功能设计不在指定机型运行

应用历程中弹窗”Your apps apps may be snooped”之类的虚假看护,提示某种操作。

2.6叉叉SKD病毒

SDK“后门”,云端动态更新下发恶意代码包,Root用户手机,植入恶意脚步文件/ELF文件到系统目录经久暗藏在设备中,拉起恶意办事推送广告行径和利用。

履行脚本,其感化是将恶意利用copy到系统ROM内。

技巧点阐发:

一阶段,履行恶意脚本文价,其感化是将恶意利用copy到系统Rom暗藏设备中

二阶段,在恶意利用植入成功后,恶意代码包经由过程startService的要领拉起恶意办事履行操作。

2.7 Romdown 病毒

使用高版本系统(5.0以上)开放接口(jobscheduler)唤醒机制及插件化隐秘履行技巧,其捏造成正常内存清理软件,运行后暗藏图标,暗藏后台事情,下载履行恶意插件,履行上传用户信息,对设备信息造成极大年夜安然要挟。

上一页[1] [2] [3]下一页

技巧点阐发:

经由过程吸收广播(蓝牙状态,收集切换,WiFi状态)等启动办事

系统5.0以上,应用jobSchedule新增系统接口,实现进程拉活

第三章 黑产使用趋势与厂商防御

第四章 安然建议及规范

恶意软件要挟隐私和家当安然带来的极大年夜安然寻衅,对手机用户隐私,家当等骚扰造成严重,若何有效的警备恶意软件的迫害显得尤为紧张,为应对未来严酷的安然寻衅,腾讯安然已推出自研AI反病毒引擎腾讯TRP引擎经由过程对系统层的敏感行径进行监控,共同能力成熟的AI技巧对利用行径的深度进修,能有效识别带有恶意风险行径软件,并实时阻断恶意行径,为用户供给更高智能的实时终端安然防护。

针对恶意软件开拓者,腾讯反欺骗实验室基于海量的样本APK数据、URL数据和手机号码黑库建立了神羊情报系统,可以根据恶意软件的恶意行径、传播URL和样本信息进行聚类阐发,溯源追踪恶意软件背后的开拓者,给于正确袭击,保护广大年夜用户免受恶意软件迫害。为尽可能避免恶意软件的迫害,我们也给用户提出了以下几条防护建议:

(1)应该选用安然正规的App产品和办事,并选择正规利用市廛下载安装。

(2)在选择利用下载保举时,只管即便选择大年夜型可托网站,请勿点击来历不明的链接下载软件。

(3)养成优越应用习气,不随意输入小我隐私信息,按期对设备系统进行安然检测和更新。

(4)当手机应用中非常发烧和运行卡立时,应及时应用腾讯手机管家进行扫描检测。

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包