主页 > 新闻资讯 > 安卓爆发恶意推广病毒,2000万用户和300款应用遭

安卓爆发恶意推广病毒,2000万用户和300款应用遭

受影响App列表。本文图片来源:腾讯安全联合实验室
 
安卓用户又要注意了,一种病毒可能会让你的手机不断弹出广告和地下推广应用。
 
近日,腾讯TPR-AI反病毒引擎监测到安卓手机“寄生推”病毒大规模爆发,该病毒可通过预留的“后门”云控开启恶意功能,进行恶意广告弹出和应用推广,以实现牟取灰色收益。
 
据腾讯安全联合实验室反诈骗实验室监测,目前已有300多款知名应用受“寄生推”软件开发工具包(SDK)感染,其中不乏知名应用,数十万用户设备ROM内被植入相关的恶意子包,潜在影响用户超2000万。
 
据悉,受影响的机型主要包括OPPO、华为、vivo 、小米等,受影响安卓版本中,75%是Android 4.4,此外Android 5.0、6.0、7.1也受到影响。影响范围主要在国内,在国外其他地区存在少量的感染用户。
 
腾讯安全联合实验室反诈骗实验室技术工程师雷经纬告诉澎湃新闻记者,感染“寄生推”SDK的知名应用中,不仅类型丰富,更是不乏用户超过千万的巨量级软件,这些恶意子包可以绕过大多应用市场的安装包检测,导致受感染的应用混入应用市场。
 
受感染应用包括“××头条”“××直播”“××股票”“××××助手”“百思×××”“××浏览器”“××壁纸”“××FM”等。
 
“寄生推”SDK作恶流程。
 
“寄生推”不仅影响范围广,在传播路径上更是“煞费苦心”。
 
雷经纬介绍,该信息推送SDK的恶意传播过程非常隐蔽,从云端控制SDK中实际执行的代码,具有很强的隐蔽性和对抗杀毒软件的能力,与“寄生虫”非常类似,故将其命名为“寄生推”。
 
具体表现为,首先,其开发者通过使用代码分离和动态代码加载技术,完全掌握了下发代码包的控制权;随后,通过云端配置任意下发包含不同功能的代码包,实现恶意代码包和非恶意代码包之间的随时切换;最后在软件后台自动开启恶意功能,包括植入恶意应用到用户设备系统目录,进行恶意广告行为和应用推广等,最终实现牟取灰色收益。
 
腾讯手机管家安全专家杨启波建议:一,SDK开发者应尽可能的避免使用云控、热补丁等动态代码加载技术,要谨慎接入具有动态更新能力的SDK,防止恶意SDK影响自身应用的口碑;二,用户在下载手机软件时,应通过应用宝等正规应用市场进行,避免直接在网页上点击安装不明软件。
 
据介绍,腾讯TRP-AI反病毒引擎引入了基于APP行为特征的动态检测,并结合AI(人工智能)深度学习,对新病毒和变种病毒有更强的泛化检测能力,能够及时发现未知病毒、变异病毒,和及时发现病毒恶意代码云控加载。
 
感染地域分布。