中文版 Global
首页 > 安全资讯 > 正文

2019年Q4 Android Native病毒疫情报告

  • 2020-02-29 19:31:44

一、          综述

360安全大脑监测数据显示,Q4季度Android Native病毒感染量达123万,平均每天新增感染设备1.37万,仅为Q1季度的1/3,月感染量延续Q3季度下降趋势持续走低。老牌病毒家族持续活跃、Android漏洞(CVE-2019-2215)遭利用、手机银行木马泛滥瞄准用户钱包,共同成为Q4季度的主要安全隐患。

Q4季度,Android Native病毒疫情呈现出两大趋势:

1Android高版本ROOT提权漏洞利用样本逐步显现,严重威胁用户手机安全

Q3季度,360安全大脑便预测,谷歌公布的影响高版本手机的安全漏洞(CVE-2019-2215)很可能出现于新一轮的Android Native病毒攻防中,近期SideWinder APT组织利用CVE-2019-2215漏洞从事间谍活动的攻击事件,证实了这一推测,该攻击事件致使多个厂商的手机受到影响,并对用户手机安全构成了极大威胁。

另外,本次攻击事件中SideWinder APT组织还使用了针对特定手机芯片的提权漏洞,同样可影响高版本手机。考虑到上述两个漏洞的利用方案均已被公开,其很可能被用于更多的实际攻击中,广大手机用户需要提高警惕。

2)手机银行木马频现,瞄准用户钱包

本季度手机银行木马变种层出,通过窃取手机用户银行账号、密码等隐私信息非法牟利。除了传统的欧洲市场外,该类木马也开始瞄准国内手机银行用户。

二、          病毒态势

感染量方面,排名前六的病毒家族感染量均出现了不同程度的下降,然而病毒占比上却呈现出不同的趋势。

“寄生灵”、“长老木马”两大老牌病毒家族持续活跃,二者感染量占比均上升了2个百分点,总占比强势碾压Q3季度,已超过本季度Android Native病毒感染量的七成,达74%,强势依旧。

“伏地魔”病毒仍牢牢占据感染量第3;感染量占比方面,“伏地魔”病毒、“X破坏者”病毒(第5)、“六棱镜”病毒(第6)与Q3季度基本持平

感染量排名第4的“百脑虫”病毒,逐步进入衰减期,对比Q3季度感染量占比呈走低趋势,下降了1个百分点。


2019年全年Android Native病毒感染量呈下降趋势,继Q3季度之后,Q4季度月感染量连续三个月走低,12月感染量更是达到了全年的最低值,仅35万,不及1月的三成。然而,随着Android漏洞(CVE-2019-2215),以及针对特定手机芯片的漏洞等高版本 ROOT提权漏洞利用代码、利用样本的公开,可能迎来一波病毒反扑,广大手机用户仍需提高警惕。

三、          热点事件

CVE-2019-2215漏洞遭利用,影响众多手机用户

近期,趋势科技安全研究人员发现了首个利用Android漏洞(CVE-2019-2215)的攻击事件,该攻击事件被指与SideWinder APT组织有关,其病毒执行流程大致分为如下三个阶段:

l  病毒母包下载并加载恶意的dex文件

来自Google Play应用商店的两个应用虽不包含明显恶意代码(实际充当Dropper释放者角色),其运行后会从C&C服务器下载并加载恶意的dex文件。

l  恶意dex文件下载攻击载荷

下载的攻击载荷包括:对应手机型号的 exp(漏洞利用样本)以及callCam应用。

l  执行攻击载荷

执行exp获取手机root权限,安装并启动callCam应用,收集上传用户隐私信息,如:位置、电量、已安装应用、WIFI信息、已安装应用的数据。

详细的病毒执行流程如下图所示。

Google Play应用商店爆出的这一事件表明:应用商店并非绝对安全,为此广大手机用户可通过安装杀毒软件为爱机增加一道安全防线。

尽管本次事件中,尚未发现任何证据表明该病毒被用于窃取用户银行账户信息,但由于拥有root权限,当用户打开合法的手机银行应用时,该病毒可随意访问设备上存储的数据,甚至向合法应用注入恶意代码,广大用户需要保持警惕。

手机银行木马频现,瞄准用户钱包

Q4季度,手机银行木马频繁出现,并且衍生出众多变种,其中仅Banker系列手机银行木马就至少有6个变种。该类木马主要瞄准欧洲市场,且大多为俄语应用,但近期360安全大脑监测到一款针对国内手机银行应用的木马软件。

该木马APK母包常伪装成文档、电子文书等应用,当用户打开合法的国内主流手机银行应用时,其会覆盖当前界面,展示对应银行的钓鱼页面,诱骗用户输入银行账号、密码等隐私信息实现非法牟利。为了提高广大手机用户对手机银行木马的防范意识、甄别能力,如下总结了该型手机银行木马主要用到的技术手段:

l  强制激活设备管理器,设置木马为默认短信应用;

l  取消激活、禁用杀毒软件,防卸载;

l  上传用户手机号、联系人列表等到攻击者服务器;

l  使用页面覆盖技术,诱骗手机用户输入银行账号、密码等信息;

l  拦截扣费短信。

针对国内手机银行应用的木马变种的出现表明,网络犯罪没有国界之分,国内手机用户同样需要提高警惕。

四、          总结

尽管2019Android Native病毒感染量下降趋势明显,但病毒家族变种层出、手机漏洞利用代码及利用样本的公开,都对用户手机安全构成了巨大威胁。SideWinder APT组织的攻击事件提供了一个成功的漏洞利用示例,未来可能会出现更多使用类似利用方案的攻击事件,广大Android手机用户切莫掉以轻心。

结合2019Android Native病毒疫情及变化趋势,为确保个人隐私、财产安全,360安全大脑建议:

1.       寻找“360手机卫士神助攻:360安全大脑始终保持对Android Native病毒动态的密切关注,并已支持上述病毒的全面一键查杀,担心手机中毒的小伙伴们,可及时通过360手机卫士官网及各大应用商店安装/更新360手机卫士,全面拦截各类病毒木马攻击。

2.       保持警惕:发现手机出现异常时,及时使用360手机卫士进行体检、扫描查杀病毒;

3.       通过正规手机应用市场下载安装应用: Android Native病毒最擅长伪装,种类繁多难以分辨,通过正规手机应用市场下载安装应用可有效规避中招风险;

4.       交易前先进行安全扫描:目前很多手机银行应用都提供了交易环境安全检查功能,广大用户切记在进行转账等交易前,先进行安全扫描;

5.       及时安装安全更新补丁:鉴于高危漏洞的利用方案已被公开,请广大Android手机用户收到手机厂商安全更新补丁后及时安装。


360安全卫士

热点排行

用户
反馈 返回
顶部