【科讯】腾讯安全发布《Android进程保护研究拆析报告》 揭秘恶意利用进程保活

本篇文章1241字，读完约3分钟

android为应用程序提供的各种应用程序进程驻留的常规界面成为恶意应用程序开发人员的新保护伞。 恶意开发者滥用安卓过程保护许多流氓应用，不仅会给顾客带来费用损失、隐私泄露的严重后果，还会引起手机设备电池的迅速消耗和手机纸箱等现象。

最近，腾讯安全反欺诈实验室发布了《安卓工艺保护研究拆除报告》(以下简称《报告》)，指出在安卓难以获得root的背景下，不需要root的工艺保护成为黑产攻击的新目标

恶意使用过程保护三个应用程序:流氓广告、恶意扣除费和风险软件。

据《报告》报道，恶意利用流程的保活应用以流氓广告最多，达到总数的66%，其次恶意扣除费和风险软件分别占18%和16%。 从过程保活病毒类型来看，采用系统事件触发保护的方法中movers、disguisedad、bombard病毒家族的比例分别为30%、27%、16%； 在二进制文件保护的方法中，叉sdk、mobo病毒家族占12%、1%； 在jobschedule接口和2工艺保护方法中，rottensys、romdown病毒家族占11%和3%。

(主要恶意利用过程维持病毒的占有率)

以magiclamp病毒为例，该病毒一般将自己伪装成一点解锁游戏或工具类软件，通过主流应用市场或部分软件下载站传递，如果客户招募， 病毒在云中分发子包安装应用程序，在云中配置，通过配置参数发送服务器，下载保护子包，执行广告骚扰等各种恶意操作。

(幻灯片病毒推送骚扰广告)

根据报告书，由于市场占有率高的系统版本( 5.0以上)，攻击者很难取得root权限，黑产通过过程相互保护、开源框架、新的系统开放api接口等方法进行病毒传播 低版本( 5.0或更低版本)使用root方法将文件移植到系统目录守护程序中。

帐篷trp-ai反病毒引擎被准确拦截，实时保护客户终端的安全

流程常驻设备已经成为许多黑产应用的使用途径，“报告”使公司加强了自身的新闻安全管理，如开放接口、系统漏洞、应对白名单审计等安全检查，使用系统api

与目前安卓市场环境下层出不穷的恶意应用相比，腾讯安全发布了自研trp-ai杀毒引擎，通过监视系统层的敏感行为，与能力成熟的ai技术合作应用行为的 比较有效地识别恶意风险行为软件，实时阻断恶意行为，为顾客提供更高智能的实时终端安全保护，目前该引擎技术的一些成果已经在腾讯手机的云引擎中应用

另外，腾讯安全反欺诈实验室基于大量样本apk数据、url数据和手机号码的黑库构建神羊信息分析平台，基于恶意软件的恶意行为、url和样本新闻的传递进行集群分解，恶意软件的

对安卓客户来说，养成良好的手机习性，防患于未然仍然是有效的防御措施。 “报告”是为了避免在网页上随便输入个人敏感新闻，不要点击来历不明的链接下载软件，选择正版app产品和服务，通过安全正规的渠道下载安装，很多客户。 在手机采用过程中发生异常发热或卡工作的情况下，立即采用腾讯手机管家等安全软件进行扫描检查，可以阻断大部分恶意攻击，保护个人设备和财产的安全