当前位置

2020年Q1 Android Native病毒疫情报告

一、综述

360安全大脑监测数据显示,Q1季度Android Native病毒感染量达125万,平均每天新增感染设备近1.4万,与2019Q4季度基本持平。新晋刷赞狂魔病毒疯狂作恶、老牌病毒家族持续活跃、病毒对抗技术不断升级,共同成为Q1季度的主要安全隐患。

Q1季度,Android Native病毒对抗技术不断升级,主要体现在以下两个方面:

1   包含最新漏洞的组合式漏洞攻击,严重威胁用户手机安全

为了突破Android系统安全机制,获得肆意作恶所需的ROOT权限,本季度的多个病毒家族均使用了若干Android系统漏洞,甚至包含最新的漏洞,如“刷赞狂魔”病毒就使用了MTK芯片漏洞(CVE-2020-0069),这也是360安全大脑在2019Q4季度预测该漏洞很可能被用于更多实际攻击的有力例证,广大手机用户一定要重视安卓手机漏洞风险。

2   对抗杀毒软件的方式新颖化、多元化

为了增强隐蔽性、防卸载能力,修改替换系统文件技术在Android Native病毒中不断升级。从粗狂式的替换系统可执行文件(备份原始系统文件),到精准化的感染系统库文件,“刷赞狂魔”病毒更是另辟蹊径,不再保留原始系统库文件,直接用病毒模块进行替换,并能保证系统正常运行,这大大增加了查杀难度,删除病毒模块将导致系统崩溃,不杀则病毒持续作恶。

此外,为进一步增强病毒存活能力,Android Native病毒广泛使用了蛇皮走位式的复杂释放链条及云控加载技术,以保证最终恶意模块顺利落地执行。

二、病毒态势

感染量方面,新晋“刷赞狂魔”病毒凭借高超的躲避杀毒软件能力,并加持MTK芯片漏洞(CVE-2020-0069)、水滴漏洞(CVE-2019-2025)等多个Android系统漏洞力压其他对手跻身感染量TOP5,其通过伪装小游戏、色情应用进行传播,暗地里悄悄给短视频疯狂刷赞、为公众号刷阅读量,让普通用户变身刷赞“僵尸粉”的同时,还会拦截银行验证码短信、私自订购付费业务给用户造成直接经济损失。截至目前,360安全大脑已收到多起关于刷赞狂魔病毒的用户求助。

此外,对比2019Q4季度,排名前六的病毒家族除“百脑虫”病毒家族外,感染量均呈增长态势,然而感染量占比趋势却表现不一。

“寄生灵”和“长老木马”两大老牌病毒家族持续活跃,占据榜单一、二座次,“寄生灵”家族感染量占比更是上升了近1个百分点,“长老木马”家族则下降了0.4个百分点,但二者占比之和再次碾压2019Q4季度接近本季度Android Native病毒感染量的八成。“伏地魔”家族感染量占比虽有小幅下降,但仍固守第三。排名第四的“百脑虫”家族延续衰减趋势,下降近1个百分点。X破坏者”家族则实力维稳,感染量占比基本持平。“六棱镜”病毒家族则被挤出了感染量TOP6榜单。


t01cf25db314ece726e.png


相较于20191235万的月感染量,2020Q1季度Android Native病毒感染量小幅上涨,月均感染量重回40万大关,这与新冠病毒疫情期间用户使用手机时长增加以及病毒作者活跃等因素有关;其次,组合式的恶意漏洞攻击以及对抗杀毒软件方式的新颖化、多元化都对用户手机安全构成了巨大威胁,广大手机用户仍需提高警惕。


t01298020294ab83060.png

三、热点事件

疯狂作恶的“刷赞狂魔”病毒

日前,360安全大脑发布的刷赞狂魔病毒分析报告,对刷赞狂魔病毒进行了详细剖析。该病毒以小游戏、虚假色情应用为诱饵诱使用户上钩,暗地里悄悄通过短视频网络接口给短视频疯狂刷赞、为公众号刷阅读量,在不知不觉中让普通用户变身刷赞“僵尸粉”;同时,其还会私自订购付费业务、拦截扣费短信,给用户造成直接经济损失。

         正如很多中招用户反馈,手机感染刷赞狂魔病毒后,会自动打开某社交应用、强制打开手机流量开关、自动下载安装系统工具和SystemTools等多个恶意应用,手动卸载后不久又自动恢复,犹如“打不死的小强”;更可怕的是,用户的银行验证码短信也遭到拦截。

与中招用户沟通后发现,一部分用户是在安装了破解游戏后中招的,另一部分则是在安装看似正常的游戏应用后,误点了色情弹窗广告中招的。Android Native病毒最擅长伪装,广大手机用户切不可抱有侥幸心理。

难以删除的xHelper病毒

无独有偶,于2019年年中开始对安卓手机发起大规模攻击的xHelper病毒,至今依然活跃。病毒应用安装后没有任何图标,无法通过点击访问,中毒的用户手机会随机弹出广告,静默下载安装恶意软件,手动卸载后不久又死灰复燃,极其顽固,即使恢复出厂设置也无法根除此病毒。


t01298020294ab83060.png


libc.soAndroid系统中众多文件的依赖库,要根除此病毒,可使用系统原始的libc.so替换被篡改的libc.so文件,然而这对普通用户来说难度太大,因此大多中招用户将不得不通过刷机以解决此问题。

四、总结

尽管Q1季度Android Native病毒感染量增幅缓慢,但新病毒家族的涌现,组合式恶意漏洞攻击以及对抗杀毒软件方式新颖化、多元化等病毒对抗技术的升级,都对用户手机安全构成了巨大威胁;其次,这些技术很可能被更多Android Native病毒使用,带来一波病毒反扑,广大手机用户切不可掉以轻心。

在此,为全面保障用户的个人隐私及财产安全,360安全大脑建议:

1.       寻找“360手机卫士神助攻:及时通过360手机卫士官网及各大应用市场安装/更新360手机卫士,对爱机进行一次全面“体检”,全方位拦截各类病毒木马攻击;

2.       保持警惕:若手机出现异常发热、霸屏广告等反常现象,及时使用360手机卫士全盘扫描模式 查杀病毒;若遇到问题,可在360手机卫士APP首页点击【我】à【反馈】选项进行反馈,360安全大脑将为您提供专业的帮助;

3.       通过官方手机应用市场下载安装应用:天上不会掉馅儿饼,Android Native病毒最擅长伪装,广大手机用户切不可对破解软件抱有侥幸心理,通过官方手机应用市场下载安装应用可有效规避中招风险;

4.       不要随意ROOT手机:手机ROOT后也向病毒敞开了大门,如无特殊需要,尽量不要随意ROOT手机;

5.       及时安装安全更新补丁:很多中招用户的系统安全补丁很久或从未更新,存在较高的漏洞利用风险,因此请广大Android手机用户收到手机厂商安全更新补丁后及时安装。