360-安卓系统级病毒疫情月报（2017年 - 总第3期）

安卓系统级病毒疫情月报（安卓系统级病毒疫情月报（20172017年年--总第总第33期）期）一、一、概述概述Android平台作为目前最大的流量来源，暴露在各种恶意软件、系统漏洞的威胁之中，成为各大黑产份子眼中的香饽饽，各种手机病毒和恶意应用纷至而来，系统级病毒(植入安卓系统底层的ELF文件格式病毒)采用各种各样的攻击技术来突破系统的防御。系统级病毒与应用层病毒相比而言主要有三个特点，一、功能强大，破坏力强：系统病毒由于获取了Root权限，它以感染、注入系统文件和进程等方式来实现强大的功能；二、隐藏系统底层，难以完全清除：系统级病毒具有极强的防御和与杀软对抗的能力；三、主要的收益：系统级病毒由于其难以清除的特点，通过恶意推广、恶意扣费、窃取隐私数据获得巨额收益。近几个月爆发的Android系统级病毒，其技术手段更加高明，攻击面更广，恶意扣费、恶意推广、窃取数据，对Android系统具有极强的破坏性，此外，部分系统级病毒还会窃取用户通信软件中的隐私信息。同时由于Android系统碎片化严重，系统级病毒的查杀和防御难度也很大。二、二、近期底层病毒态势近期底层病毒态势从7月份感染量级来看，系统级病毒新增感染量40万次，系统级病毒日新增感染用户量超过1万。从7月份系统级病毒占比分布来看，本月主要还是以已曝光的病毒为主，占比排名靠前的病毒家族如下：“寄生灵”家族(ESE.Backdoor..AndNative.Spm和ESE.Backdoor..AndNative.Dtm)持续高度活跃，占比接近60%。该家族主要通过广告SDK等方式进行传播，用户一旦不慎运行含有此SDK的恶意应用，该病毒立即下载提权文件来获取Root提权，频繁推送广告，私自发送扣费短信，下载并静默安装恶意子包到系统底层，注入大量恶意文件到系统底层用于守护病毒，防止病毒被卸载。“地狱火”家族(ESE.Backdoor..AndNative.Vold和ESE.Backdoor..AnCurl)已进入衰减期，但其庞大的感染基数，感染占比接近7%。该家族主要靠色情诱惑类应用和捆绑一些正规应用进行传播，该病毒会动态修改系统boot分区，拷贝病毒核心文件vold到/sbin，修改init.rc添加自启动，绕过系统安全防护，防止病毒被查杀。“蜥蜴之尾”家族（ESE.Backdoor..AndNative.Libcake和ESE.Backdoor..FakeCake）从2015年发现至今依旧活跃，占比接近5%。该病毒采用了静态感染技术，感染系统运行依赖的liblog.so库文件，并通过文件路径随机、样本MD5自变化等手段提升了查杀难度。