近年来,木马病毒感染事件频繁发生,给用户的日常生活带来一定程度的损害。近日,腾讯安全联合实验室反诈骗实验室自研的 TRP-AI 反病毒引擎捕获到一个恶意推送信息的 SDK——「寄生推」SDK。此前曾有用户下载了一款知名软件,结果手机开始不断弹出恶意弹窗,而这很有可能是因为该软件被植入了「寄生推」SDK。
近年来,木马病毒感染事件频繁发生,给用户的日常生活带来一定程度的损害。近日,腾讯安全联合实验室反诈骗实验室自研的 TRP-AI 反病毒引擎捕获到一个恶意推送信息的 SDK——「寄生推」SDK。此前曾有用户下载了一款知名软件,结果手机开始不断弹出恶意弹窗,而这很有可能是因为该软件被植入了「寄生推」SDK。
据悉,「寄生推」推送 SDK 的影响范围极广,从 2017 年 9 月份开始下发恶意代码包至今,目前已有 300 多款知名应用受「寄生推」SDK 感染,并有至少 5 款正规软件进行恶意推广,传播该恶意 SDK,潜在受影响用户近 2000 万。腾讯安全联合实验室反诈骗实验室大数据显示,已有数十万用户设备 ROM 内被植入相关的恶意子包,受到影响的设备会不断弹出广告和地下推广应用。此外,这些恶意子包可以绕过大多应用市场的安装包检测,导致受感染的应用混入应用市场,给用户和应用开发者带来重大损失。
(图:「寄生推」推送 SDK 恶意子包影响范围广)
「寄生推」推送 SDK 在恶意传播过程中,呈现了一种新特征:从云端控制 SDK 中实际执行的代码,具有很强的隐蔽性和对抗杀毒软件的能力。首先,其开发者通过使用代码分离和动态代码加载技术,完全掌握了下发代码包的控制权。随后,通过云端配置任意下发包含不同功能的代码包,实现恶意代码包和非恶意代码包之间的随时切换。最后在软件后台自动开启恶意功能,包括植入恶意应用到用户设备系统目录,进行恶意广告行为和应用推广等,最终实现牟取灰色收益。
针对「寄生推」恶意 SDK 的危害,腾讯手机管家安全专家杨启波对应用市场、开发者和用户提出了建议:其一,应用市场需要加强和细化管理,增强对恶意应用和恶意 SDK 的识别能力。其二,SDK 开发者应尽可能的避免使用云控、热补丁等动态代码加载技术;软件开发者要谨慎接入具有动态更新能力的 SDK,防止恶意 SDK 影响自身应用的口碑。
(图:腾讯手机管家全面查杀多款感染「寄生推」恶意 SDK 的手机应用)
最后,用户在下载手机软件时,应通过应用宝等正规应用市场进行,避免直接在网页上点击安装不明软件。同时,用户应养成良好的安全使用手机的习惯,借助腾讯手机管家等对三方安全软件对手机进行安全检测,移除存在安全风险的应用。作为手机端的第一道防线,腾讯手机管家依托腾讯 TRP-AI 反病毒引擎,对下载的手机软件进行安全扫描,及时识别风险并进行安全处理,大幅提升病毒查杀效率,保障手机安全。
