安卓党看过来!手把手教你“活在”烦人的弹窗广告里…

2019-11-25 04:47:09 围观 : 157次 来源 : www.morefunsoft.com 作者 : 魔方软件

锦绣中华,盛世华诞,马上我们就要迎来新中国成立70周年的大日子!不论大家打算在手机上观看热血沸腾的大阅兵直播,还是上网为“阿中哥”打call应援,总之对祖国“花式表白”,即将成为今年十一假期“最燃”的度假项目。

但是,在我们“机不离手”的长假里,不得不提防一种能给你手机致命一击的Android Native病毒——“伏地魔”。360安全大脑的长期监测,发现自2016年6月起,“伏地魔”病毒便活跃于用户手机里。它不仅能伪装手机系统文件,更带来挥之不去的烦人广告及恶意应用,严重影响手机正常使用,甚至被莫名扣费。而根据统计,感染“伏地魔”病毒的手机用户已超过100万。

就在节前,360安全大脑发布《兼容安卓64位的“伏地魔”病毒分析报告》,首次详细披露了“伏地魔”病毒3年来的演变进程,以及其不断进化的全新变种;并且全面分析了“伏地魔”病毒在全国范围的传播疫情和攻击态势。

“伏地魔”散播五湖四海,64位病毒呈高发态势

首先,从地域分布来看,感染“伏地魔”病毒最多的省份为广东省,感染量占全国感染量的10.27%;其次为河南省为8.04%,山东省为7.92%;再综观全国感染分布,不难发现“伏地魔”病毒正在向全国四面八方大肆传播,安全防护意识不可掉以轻心。

1569494452322108.jpg

至于中招手机的版本,多达92%集中在Android5.1和Android4.4,其中Android5.1受灾最为严重,占比达60%;其次,“伏地魔”病毒的64位版本影响范围主要为Android5.1和Android5.0。

1569494459982639.jpg

必须警惕的是,在64位操作系统已成Android手机主流的趋势下,越来越多的Android Native病毒开始兼容64位手机,“伏地魔”的不断演变并发展成为支持64位手机的“致命”病毒,正是这一趋势的具体体现。因此,360安全大脑发出预警:未来可能是64位Android Native病毒的高发期,移动端安全防护变得更为严峻。

斗智斗勇“掩体战”,手段高超躲避杀软

回顾“伏地魔”病毒在长达3年的演变进程中,已经历了三次版本迭代。从简单的初代,到使用动态感染技术,再到增加恶意扣费模块,攻击功能不断升级完善,以今年1月首次使用动态感染技术的“伏地魔”病毒新变种为例,仅用1个月就有6.7万用户中招感染,其感染量达到峰值。

1569494491343270.jpg

针对新出现的变种版本,360安全大脑确认其“危险系数”极高。一方面“伏地魔”是APP界出色的“伪装者”,不仅病毒母包可以假扮成“讨喜好用”的正常APP程序,像掌上快讯、水果忍者之类,而病毒模块则可以“冒充”手机系统文件,外观和内核都真假难辨。

另一方面,“伏地魔”也有着高超的对抗手段,例如病毒会在开机运行5分钟以后,才开始安装、拉起恶意应用;运行20分钟后,才开始偷偷订阅服务、恶意扣费……总之,攻击者精心设计了“定时触发”,再加上“加密混淆”、“HOOK注入”、“多重检测”等各式各样的“保命”方法,让“伏地魔”躲过杀软查杀,实现对抗杀软。

与此同时,“伏地魔”病毒主要通过伪装小游戏、色情应用,以及第三方ROM等方式进行传播。中招用户一旦感染病毒就会像拧开病毒的“阀门”,除了推送霸屏广告,还会陆陆续续下载其他病毒应用以及更多推广软件,形成一个恶性循环;同时,该病毒还会私自订购业务,造成用户直接经济损失。

图片4.jpg

“伏地魔”病毒详细技术分析:

经过360安全大脑的进一步溯源分析,确认“伏地魔”病毒主要由任务调度模块、ROOT提权模块、注入模块、恶意扣费模块四大模块组成,其整体执行流程如下:

1569494502332255.jpg

任务调度

病毒应用运行后,首先检测设备状态,防止在非用户运行环境触发恶意行为;检测通过后,会对用户手机进行注册,并设置定时触发任务。病毒应用在运行一段时间后,会向云端发送更新请求,下载并动态加载恶意文件artificial.jar。

1569494508163074.jpg

ROOT提权

相关文章

论文专题