概述
Google在Android2.2 (API level 8)新增了名为DevicePolicyManager的接口,可以帮助用户实现对手机安全管理和远程操作,如锁定屏幕、恢复出厂设置、清空手机上所有数据、远程修改屏幕密码等操作。
DevicePolicyManager开发的初衷是为了帮助用户解决手机丢失的数据泄露问题,基于该功能的手机找回功能已经成为各大安卓手机厂商的标配,很悲催的是,一个正规的功能在黑产的手中马上就变成了一种”商业模式”,根据腾讯安全反诈骗实验室大数据显示:
包含设备管理器(DevicePolicyManager)权限样本中,病毒比例竟然高达63%。
恶意利用设备管理器权限地域分布趋势主要分布在:中国,印尼,马来西亚,印度,菲律宾,美国,巴西。
滥用设备管理器权限病毒类型主要以:银行支付类木马、勒索类病毒、社工诈骗类病毒、隐私窃取类病毒、虚假游戏外挂类病毒等。
恶意利用设备管理器的病毒家族新增样本主要有三个类型:支付类病毒、置顶勒索病毒和资费消耗病毒为主,占比分别为:35.62%、32.06%和29.38%。
2017年度恶意利用设备管理器病毒类型分布占比:流氓行为病毒和隐私窃取病毒为主,占比分别为:39.83%和25.30%
流氓行为病毒类型中占比为主的病毒种类为:置顶勒索病毒占比36.92%
隐私窃取病毒类型中占比为主的病毒种类为:支付类病毒占比24.62
1000-1999元价位的手机用户最容易遭受设备管理器类病毒攻击,其中毒率高达48%。
恶意利用设备管理器权限技术特点
恶意利用范围包含漏洞木马、植入“拦截码”模块、植入挖矿模块、置顶勒索模块、结合社工诈骗仿冒公检法等手法衍生出复合攻击型变种病毒
含有设备管理器权限安全样本和病毒样本比例分布
含有设备管理器权限样本中,病毒比例高达63%
病毒类型主要有: 银行/支付类木马、置顶勒索类病毒、社工诈骗类病毒、隐私窃取类病毒、游戏外挂类病毒等
恶意利用设备管理器权限地域分布趋势
地域主要分布在:中国,印尼,马来西亚,印度,菲律宾,美国,巴西。
恶意利用设备管理器病毒新增样本趋势
病毒类型以:支付类病毒、置顶勒索病毒和资费消耗病毒为主,占比分别为:35.62%、32.06%和29.38%
2017年年度恶意利用设备管理器病毒类型分布占比
流氓行为病毒类型中占比最高的病毒种类为:置顶勒索病毒,占比36.92%
隐私窃取病毒类型中占比最高的病毒种类为:支付类病毒,占比24.62%
恶意利用设备管理器病毒家族TOP 50榜单
恶意利用病毒家族主要是:支付类病毒、置顶勒索病毒和资费消耗病毒为主
Android系统设备管理器变化趋势
设备管理器权限病毒机型中毒占比
TOP机型中1000-1999元区间手机用户容易遭受设备管理器权限病毒攻击,占比:48%
设备管理器权限被植入恶意代码危害衍生趋势
用户点击取消激活的时候跳转到其他界面阻止取消激活设备管理器
流氓申请激活设备管理器权限,连续频繁弹出窗口,直至用户点击激活
当用户取消设备管理器时,会马上锁定受感染设备屏幕,致使用户无法正常使用设备。
植入挖矿模块,运行后执行挖矿进程并一直持续下去,直到设备电量耗尽为止,当用户取消设备管理器时,关闭设备屏幕5-10秒,致使用户无法正常使用设备
植入拦截码病毒模块,诱导用户激活设备管理器通过隐藏后台潜伏在用户手机,拦截用户资金短信,窃取通讯录,通话记录等信息
植入置顶勒索病毒模块,当用户取消设备管理器时自动激活置顶勒索病毒模块,强制将自身界面置于设备屏幕上方,致使用户无法正常使用设备,并以支付解锁对用户进行勒索。
仿冒公检法植入置顶勒索病毒模块,当用户取消设备管理器时强制将自身界面置于设备屏幕上方,致使用户无法正常使用设备,并且弹窗提示用户,取消设备管理器,将重置手机数据。
诱导激活设备管理器阻止正常卸载,具备禁用USB功能,用户无法通过adb调试卸载。
DisallowUseUsb函数关闭USB的ADB调试和文件传输功能,禁用sub接口
设备管理器清理方案:
无ROOT权限清除方案:
* 使用adb命令行 “am force-stop 包名”可以强制关闭应用
* 使用手机管家查杀后即可查杀卸载病毒
安全建议
(1) 谨慎下载安装各类破解以及盗版应用,如破解的游戏等
(2) 建议从官方网站或正规应用市场下载安装应用,可以最大限度的保证下载应用的安全性
(3) 安装腾讯手机管家等安全软件对手机进行安全检测,开启病毒库的自动更新服务(务必开启云查杀功能),第一时间拦截存在安全风险的应用安装
*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM
来源:freebuf.com 2018-05-10 08:30:59 by: 腾讯手机管家
请登录后发表评论
注册