安卓系统级病毒疫情月报（2017年 - 总第1期）

安卓系统级病毒疫情月报(2017年 - 总第1期)。

一、 概述

2017年2月份移动端底层病毒单月感染量40万次，从恶意程序类型来看，以资费消耗型病毒为主占(70.3%)。

近几个月，Android手机上爆发了难以杀死的病毒木马。该病毒拥有多种Root提权方案，在成功获取Root权限后，禁用安全软件，并且阻止其他应用获取权限。不仅如此，病毒采用众多守护方案，被杀死后，只要有一点疏漏便会死灰复燃。病毒查杀技术的提高，很大程度上减少了病毒的存活率，但是不乏技术深厚的黑产团队一直与安全行业对抗。

二、 2月份底层病毒态势

2月份流行病毒占比最高的是AndNative.Snd，占总量34.9%，主要活跃于最近几个月。而时间较为久远的地狱火病毒、长老木马家族底层模块(AndNative.Vold，AndNative.AnCurl，AndNative.Dm，AndNative.LibCake)活跃度依然很高。这些历史病毒(包括AndNative.Spm)占比近一半，并且都在持续更新，说明基本都是大团队制作，一般的小团队或是个人很难有这样的技术实力和长期支持的能力。

图一 底层流行病毒占比

从恶意程序类型来看，Android恶意程序以资费消耗为主，占比(70.3%)。其次是远程控制(20.2%)。

图二 底层流行病毒类型分布

资费消耗型病毒占比很高，这类恶意程序收益高、回报周期短，对于一些系统ROM内置恶意程序甚至都不用提权就可以办到，这样木马权限高，存活率高。

三、 “X破坏者”病毒

2月份我们收到多例360手机急救箱查杀病毒时闪退的用户反馈，远程协助下发现了 “X破坏者”病毒，该病毒一旦在手机上安装成功，便启动Root提权模块，接着循环删除安全软件和一键Root工具，让用户无法彻底清除病毒，而且还会发送扣费短信订制包月业务，造成用户话费损失，影响用户正常使用手机。

图三 360手机急救箱用户反馈

(一) 用户感染地域分布

图三 “X破坏者”病毒地域分布

国内受影响排名前三的省份是：广东、河南、山东，其中广东是感染量最大的地区。

(二) 木马恶意行为

1. 恶意扣费

部分扣费短信相关信息：

表一 扣费短信相关信息

2. 删除安全软件

该病毒安装成功后，便会循环删除或禁用系统中下列安全软件和一键Root工具：

表二 删除或禁用安全软件列表

病毒运行后KingRoot一直提示报错，影响正常使用：

图四 病毒运行演示

(三) 木马传播渠道

.应用和伪装正常应用是“X破坏者”最常用的传播方式, 同时还打上某公司数字签名藏匿于各大正规应用商城：豌豆荚、腾讯应用宝、百度手机助手等。

诱导用户下载安装是该病毒的主要手段;

该病毒常用来伪装的正常应用排名前三的分别是：Meipai(com.meitu.meipaimv)、美颜相机(com.meitu.meiyancamera)、清风DJ(com.qfs.music)。

.应用分别是：看片神器、高清视频。

四、 安全建议

360手机卫士安全专家建议，来源不明的手机软件、安装包、文件包等不要随意点击下载;手机上网时，对于不明链接、安全性未知的二维码等信息不随意点击或扫描;使用360手机卫士等手机安全软件定期查杀手机病毒，养成良好的手机使用习惯。

目前，最新版360手机急救箱已支持“X破坏者”专杀。