频道栏目
首页 > 安全 > 网络安全 > 正文

设备管理器权限遭恶意利用,衍生多种病毒攻击用户手机

2018-05-12 10:32:41      个评论      
收藏   我要投稿

概述

设备管理器权限遭恶意利用,衍生多种病毒攻击用户手机。Google在Android2.2 (API level 8)新增了名为DevicePolicyManager的接口,可以帮助用户实现对手机安全管理和远程操作,如锁定屏幕、恢复出厂设置、清空手机上所有数据、远程修改屏幕密码等操作。

1.png
2.png

DevicePolicyManager开发的初衷是为了帮助用户解决手机丢失的数据泄露问题,基于该功能的手机找回功能已经成为各大安卓手机厂商的标配,很悲催的是,一个正规的功能在黑产的手中马上就变成了一种”商业模式”,根据腾讯安全反诈骗实验室大数据显示:

包含设备管理器(DevicePolicyManager)权限样本中,病毒比例竟然高达63%。

恶意利用设备管理器权限地域分布趋势主要分布在:中国,印尼,马来西亚,印度,菲律宾,美国,巴西。

滥用设备管理器权限病毒类型主要以:银行支付类木马、勒索类病毒、社工诈骗类病毒、隐私窃取类病毒、虚假游戏外挂类病毒等。

恶意利用设备管理器的病毒家族新增样本主要有三个类型:支付类病毒、置顶勒索病毒和资费消耗病毒为主,占比分别为:35.62%、32.06%和29.38%。

2017年度恶意利用设备管理器病毒类型分布占比:流氓行为病毒和隐私窃取病毒为主,占比分别为:39.83%和25.30%

流氓行为病毒类型中占比为主的病毒种类为:置顶勒索病毒占比36.92%

隐私窃取病毒类型中占比为主的病毒种类为:支付类病毒占比24.62

1000-1999元价位的手机用户最容易遭受设备管理器类病毒攻击,其中毒率高达48%。

恶意利用设备管理器权限技术特点

恶意利用范围包含漏洞木马、植入“拦截码”模块、植入挖矿模块、置顶勒索模块、结合社工诈骗仿冒公检法等手法衍生出复合攻击型变种病毒

3.png

含有设备管理器权限安全样本和病毒样本比例分布

含有设备管理器权限样本中,病毒比例高达63%

病毒类型主要有: 银行/支付类木马、置顶勒索类病毒、社工诈骗类病毒、隐私窃取类病毒、游戏外挂类病毒等

恶意利用设备管理器权限地域分布趋势

地域主要分布在:中国,印尼,马来西亚,印度,菲律宾,美国,巴西。

4.png

恶意利用设备管理器病毒新增样本趋势

病毒类型以:支付类病毒、置顶勒索病毒和资费消耗病毒为主,占比分别为:35.62%、32.06%和29.38%

5.png

2017年年度恶意利用设备管理器病毒类型分布占比

流氓行为病毒类型中占比最高的病毒种类为:置顶勒索病毒,占比36.92%

隐私窃取病毒类型中占比最高的病毒种类为:支付类病毒,占比24.62%

6.png

恶意利用设备管理器病毒家族TOP 50榜单

恶意利用病毒家族主要是:支付类病毒、置顶勒索病毒和资费消耗病毒为主

7.png

Android系统设备管理器变化趋势

8.png

设备管理器权限病毒机型中毒占比

TOP机型中1000-1999元区间手机用户容易遭受设备管理器权限病毒攻击,占比:48%

9.png

设备管理器权限被植入恶意代码危害衍生趋势

用户点击取消激活的时候跳转到其他界面阻止取消激活设备管理器

10.png
11.png

流氓申请激活设备管理器权限,连续频繁弹出窗口,直至用户点击激活

12.png
13.png

当用户取消设备管理器时,会马上锁定受感染设备屏幕,致使用户无法正常使用设备。

14.png

植入挖矿模块,运行后执行挖矿进程并一直持续下去,直到设备电量耗尽为止,当用户取消设备管理器时,关闭设备屏幕5-10秒,致使用户无法正常使用设备

15.png
15(1).png

植入拦截码病毒模块,诱导用户激活设备管理器通过隐藏后台潜伏在用户手机,拦截用户资金短信,窃取通讯录,通话记录等信息

16.png
17.png

植入置顶勒索病毒模块,当用户取消设备管理器时自动激活置顶勒索病毒模块,强制将自身界面置于设备屏幕上方,致使用户无法正常使用设备,并以支付解锁对用户进行勒索。

18.png
19.png

仿冒公检法植入置顶勒索病毒模块,当用户取消设备管理器时强制将自身界面置于设备屏幕上方,致使用户无法正常使用设备,并且弹窗提示用户,取消设备管理器,将重置手机数据。

20.png
21.png

诱导激活设备管理器阻止正常卸载,具备禁用USB功能,用户无法通过adb调试卸载。

22.png

DisallowUseUsb函数关闭USB的ADB调试和文件传输功能,禁用sub接口

23.png

设备管理器清理方案:

无ROOT权限清除方案:

* 使用adb命令行 “am force-stop 包名”可以强制关闭应用

* 使用手机管家查杀后即可查杀卸载病毒

24.png

安全建议

(1) 谨慎下载安装各类破解以及盗版应用,如破解的游戏等。

(2) 建议从官方网站或正规应用市场下载安装应用,可以最大限度的保证下载应用的安全性 。

(3) 安装腾讯手机管家等安全软件对手机进行安全检测,开启病毒库的自动更新服务(务必开启云查杀功能),第一时间拦截存在安全风险的应用安装。

上一篇:服务器中发现XorDDos木马的方法和清除步骤
下一篇:病毒TrickBot”伪装成“汇丰银行”邮件获取用户账号
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站