起底安卓病毒“寄生推”：如何感染2000萬(wàn)手機(jī)用戶(hù)

300余款知名應(yīng)用軟件被感染、受影響用戶(hù)高達(dá)2000余萬(wàn)，2018年以來(lái)，首起千萬(wàn)級(jí)感染量惡意推廣方式——“寄生推”惡意推送信息的軟件開(kāi)發(fā)工具包(SDK)，近日被騰訊安全成功捕獲。經(jīng)騰訊安全專(zhuān)家分析發(fā)現(xiàn)，該SDK已經(jīng)被多款百萬(wàn)級(jí)別用戶(hù)量的應(yīng)用集成使用。根據(jù)騰訊安全反詐騙實(shí)驗(yàn)室大數(shù)據(jù)顯示，已有數(shù)十萬(wàn)用戶(hù)的安卓設(shè)備ROM內(nèi)被植入相關(guān)的惡意代碼，受其影響，用戶(hù)設(shè)備會(huì)不斷彈出廣告和應(yīng)用推廣。這些惡意代碼，還具備了繞過(guò)應(yīng)用市場(chǎng)檢測(cè)的兒童型，以及混進(jìn)應(yīng)用市場(chǎng)等潛在風(fēng)險(xiǎn)。

騰訊安全已經(jīng)就此事件，第一時(shí)間向社會(huì)發(fā)布預(yù)警，同時(shí)針對(duì)應(yīng)用開(kāi)發(fā)者、應(yīng)用市場(chǎng)、用戶(hù)分別提出安全建議和防范手段，避免事態(tài)進(jìn)一步惡化。

“寄生推”存在已半年 海外安卓用戶(hù)受波及

從PC時(shí)代至今，惡意推廣始終是不法商家、黑產(chǎn)團(tuán)伙謀取非法利益的重要渠道。在“寄生推”SDK被捕獲之前，國(guó)內(nèi)已經(jīng)出現(xiàn)過(guò)盜取用戶(hù)流量、推送惡意廣告鏈接、竊取用戶(hù)信息等問(wèn)題。曾經(jīng)一度備受廣告商推崇的嵌入式廣告SDK,也經(jīng)常受人詬病。某些廣告商為了方便開(kāi)發(fā)者嵌入自家平臺(tái)的廣告，甚至公開(kāi)廣告打包器,只要開(kāi)發(fā)者應(yīng)用該類(lèi)打包器，就可以制作出嵌有該平臺(tái)廣告的應(yīng)用。

而極低的二次打包成本，以及屢屢出現(xiàn)的惡意推廣行為，也在一定程度上助長(zhǎng)了黑產(chǎn)勢(shì)力的氣焰。尤其是在網(wǎng)絡(luò)安全邊界、國(guó)界越來(lái)越模糊的當(dāng)下,黑產(chǎn)更是借助先進(jìn)的網(wǎng)絡(luò)技術(shù)，進(jìn)一步攫取不法利益。

根據(jù)騰訊安全反詐騙實(shí)驗(yàn)室溯源發(fā)現(xiàn)，“寄生推”SDK從2017年9月份就已經(jīng)開(kāi)始下發(fā)惡意代碼包，植入惡意代碼到被它成功Root過(guò)的用戶(hù)設(shè)備上。受影響用戶(hù)量在2018年1月逐步達(dá)到高峰，目前已趨于穩(wěn)定。據(jù)測(cè)算，每個(gè)惡意代碼包影響用戶(hù)量都在20萬(wàn)以上。

此外，騰訊安全反詐騙實(shí)驗(yàn)室披露的信息顯示，隨著“寄生推”SDK的蔓延，開(kāi)發(fā)者下發(fā)的惡意代碼影響范圍雖然主要集中在國(guó)內(nèi),但在國(guó)外其它地區(qū)也存在少量的感染用戶(hù)。

惡意推廣技術(shù)手段升級(jí) 對(duì)抗殺毒軟件隱蔽性更強(qiáng)

相較于傳統(tǒng)惡意推廣SDK，“寄生推”SDK的植入更加隱蔽，同時(shí)抗殺毒能力更強(qiáng)。在此之前，騰訊安全反詐騙實(shí)驗(yàn)室團(tuán)隊(duì)依托騰訊安全大數(shù)據(jù)，及騰訊安全反詐騙實(shí)驗(yàn)室自研的TRP-AI反病毒引擎，捕獲到多款知名應(yīng)用，在用戶(hù)設(shè)備上存在私自提權(quán)、靜默植入應(yīng)用等惡意操作，并發(fā)現(xiàn)這些應(yīng)用集成的“XX推”信息推送SDK存在重大嫌疑。通過(guò)細(xì)致分析，發(fā)現(xiàn)該SDK開(kāi)發(fā)者可以通過(guò)云端控制的方式，對(duì)目標(biāo)用戶(hù)下發(fā)包含惡意功能的代碼包，進(jìn)行相關(guān)隱秘操作。

(“寄生推”SDK作惡流程)

騰訊安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室技術(shù)工程師雷經(jīng)緯介紹，該信息推送SDK的惡意傳播過(guò)程非常隱蔽，從云端控制SDK中實(shí)際執(zhí)行的代碼，具有很強(qiáng)的隱蔽性和對(duì)抗殺毒軟件的能力，與“寄生蟲(chóng)”非常類(lèi)似，故將其命名為“寄生推”，將該信息推送SDK稱(chēng)為“寄生推”SDK。

據(jù)介紹，“寄生推”惡意推廣技術(shù)，可以讓利用該技術(shù)進(jìn)行惡意推廣的開(kāi)發(fā)者完全掌握推送控制權(quán)，通過(guò)云端任意下發(fā)包含不同惡意功能的代碼包，并且可以實(shí)現(xiàn)惡意代碼包和非惡意代碼包之間的隨時(shí)切換，進(jìn)一步提升其隱蔽性。在用戶(hù)手機(jī)中隱蔽安裝后，開(kāi)發(fā)者就可以通過(guò)在軟件后臺(tái)自動(dòng)開(kāi)啟惡意功能，包括植入惡意應(yīng)用到用戶(hù)設(shè)備，進(jìn)行惡意廣告行為和應(yīng)用推廣等，最終實(shí)現(xiàn)牟取灰色收益。

雷經(jīng)緯還指出，從“寄生推”SDK的作惡手法來(lái)看，惡意開(kāi)發(fā)者有從開(kāi)發(fā)惡意App應(yīng)用向開(kāi)發(fā)惡意SDK轉(zhuǎn)變的趨勢(shì)，新發(fā)現(xiàn)的SDK具有很強(qiáng)的隱蔽性和對(duì)抗殺毒軟件的能力。通過(guò)云端控制下發(fā)運(yùn)行邏輯，可以繞過(guò)大多應(yīng)用市場(chǎng)的安裝包檢測(cè)和殺毒軟件的蜜罐檢測(cè)，導(dǎo)致受感染的應(yīng)用混入應(yīng)用市場(chǎng)，不僅對(duì)用戶(hù)造成了危害，也傷害了部分應(yīng)用的口碑，給應(yīng)用開(kāi)發(fā)者帶來(lái)重大損失。

安全形勢(shì)越來(lái)越緊迫 網(wǎng)絡(luò)安全需要新思維

“寄生推”SDK的爆發(fā)，更加反映出當(dāng)下和未來(lái)網(wǎng)絡(luò)安全形勢(shì)的嚴(yán)峻。“寄生推”并非個(gè)例，在過(guò)去半年時(shí)間中，從騰訊安全聯(lián)合實(shí)驗(yàn)室玄武實(shí)驗(yàn)室發(fā)現(xiàn)的“應(yīng)用克隆”攻擊模型，到如今影響范圍超過(guò)2000萬(wàn)用戶(hù)的“寄生推”，都反映出一個(gè)實(shí)質(zhì)性問(wèn)題：傳統(tǒng)安全思維已經(jīng)難以滿(mǎn)足新形勢(shì)下的安全威脅，各行各業(yè)都需要轉(zhuǎn)換安全思維，才能及時(shí)應(yīng)對(duì)可能出現(xiàn)的威脅。

尤其是在物聯(lián)網(wǎng)、人工智能、量子科技涌現(xiàn)的大環(huán)境下，黑產(chǎn)同樣瞄準(zhǔn)新技術(shù)、新模式，作惡手段也在同步升級(jí)。騰訊副總裁馬斌就曾指出，傳統(tǒng)安全防御方式已不適用于移動(dòng)互聯(lián)時(shí)代。PC時(shí)代，互聯(lián)網(wǎng)安全以防為主，漏洞防御只需及時(shí)更新補(bǔ)丁，黑客的攻擊范圍及攻擊手段都相對(duì)有限。而到了移動(dòng)互聯(lián)時(shí)代，用戶(hù)現(xiàn)實(shí)生活與數(shù)字生活邊界被打通，生活、服務(wù)場(chǎng)景愈發(fā)融合，再小的安全隱患都有可能引發(fā)全新的用戶(hù)、企業(yè)、社會(huì)安全的連鎖反應(yīng)，個(gè)人隱私與數(shù)據(jù)安全的保障需求相當(dāng)緊迫。

從 “寄生推”這起網(wǎng)絡(luò)安全事件來(lái)看，其帶來(lái)的傷害是多方面的，不僅僅涉及用戶(hù)，還有廠商、開(kāi)發(fā)者及應(yīng)用市場(chǎng)。而這也提醒已經(jīng)融入互聯(lián)網(wǎng)生態(tài)的各方，移動(dòng)互聯(lián)時(shí)代，安全思維需要升級(jí)，比任何一個(gè)時(shí)代都更加需要各方的攜手合作，共同合力構(gòu)筑安全防線(xiàn)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。