【科讯】“Fake System”木马惊现新变种，百万Android设备沦为肉鸡

本篇文章1654字，读完约4分钟

你的手机有没有接连发出恶意广告，或者私自发送恶意按钮费的邮件？ 最近，腾讯安全防范实验室自研的trp-ai杀毒引擎捕获了安卓后门的病毒样本。 这个特洛伊木马私自入侵客户的手机设备，在后台频繁安装应用程序，排出骚扰广告，在后台偷偷发送SMS登记客户不需要的增值服务，提高手机的持续能力。

值得一提的是，腾讯安全反欺诈实验室自研的trp-ai反病毒引擎根据应用行为进行深入学习，可以比较有效地检测应用可疑操作，目前全面支持该特洛伊木马家族的搜索。

模仿系统的应用被破坏，三种逃跑技术灵活对抗

腾讯安全技术专家表示，披着这些科技外套的病毒样本是fake system特洛伊木马家族的新变种，主要是power、ui组件、systembase、流程管理、系统工具

这个特洛伊木马比通常的app应用层病毒更擅长隐藏和保护自己，不仅通过root技术破坏顾客的手机系统以系统应用的名义秘密潜伏，而且还进行了很多复杂全面的运行环境检查

具体来说，这些特洛伊木马病毒使用自动化的框架为每个恶意功能定制不同的加密算法，从而避免静态检测技术。 其次，采用动态沙盒检测转义技术，通过模拟器文件、xposed框架、adb、debugger、usb连接状态等18种设备状态监视，全面识别非现实顾客的运行环境。 最后，使用最新的第三代云退出技术，将恶意功能剥离到payload文件中，保存到云服务器中，通过云控制分发和执行payload文件。 通过上述三种转义方法，当客户机设备运行恶意功能代码时，以前的供应商很难捕获和检测恶意代码。

波及数百万安卓手机的顾客，三大黑产改变手段走向金钱

据悉，特洛伊木马病毒的第一个样本出现在年8月，以潜伏期长而闻名。 根据腾讯安全反欺诈实验室大数据引擎的数据，最近fake system木马新变种的感染客户迅速增加，在过去一个月中一些新变种的感染客户迅速增加到20万人左右，至今为止fake system

为了进一步牟取灰色收益，该特洛伊木马整合了三个主要的黑产变手段:首先，恶意宣传应用程序通过从云获得应用宣传任务，向不同的顾客宣传rom内和rom外的应用，恶意宣传应用程序 其次，恶意扣除邮件从云中获取扣除邮件任务，操作中毒设备发送扣除邮件，直接受益。 最后，广告非法刷量利用许多广告平台、多种广告支持刷量，模拟广告提取、点击、下载、安装等数据报告。

其中，fake system木马恶意宣传的应用很广泛，rom的应用主要是特洛伊木马的其他病毒样本，一般fake system木马在感染的客户端设备上安装多个不同的病毒样本 特洛伊木马在普通apk的宣传中非常广泛，涉及到各种各样的应用。

安全专家注意:安卓手机顾客必须注意，成为非法黑客的开采肉鸡。

现在，fake system木马功能很强，客户端设备感染后，会成为黑产分子控制的肉鸡，黑产分子会成为应用宣传、邮件按钮费、广告刷量的工具。 手机管家安全专家注意安卓客户，提高互联网安全意识，掌握良好的互联网习性，不要从非正规的应用市场和网页下载安装应用程序 建议安装及时安全更新设备的手机管家等主流安全软件，以实现实时保护。 如果发现手机感染了特洛伊木马，请立即使用安全软件清理，以免发生重复的交叉感染。

比较恶意应用广告刷量给各大广告平台和广告投放者带来负面影响和经济损失的问题，帐篷安全欺诈防止实验室结合自身终端的感知能力、覆盖能力，帐篷安全为黑生产设备、工人的新闻积累等

app广告投放者只需在反欺诈识别服务的接口中输入自己收到的收费流量的数据，例如点击报告、启用等，反欺诈服务平台就根据流量的数据判断假流量 另外，广告投放者通过安全的云流量欺诈防止服务，比较有效地判断当前的营销、宣传整体状况，正确有效地判断各渠道的流量质量，正确地识别欺诈流量，金钱价格、信用价格、信用价格

腾讯trp-ai杀毒引擎首次引入基于app行为特征的动态检测，结合ai深度学习，对新病毒和变种病毒具有更强的泛化检测能力，及时发现未知、变异病毒，对病毒恶意代码的