首页安全播报安全快讯 › 设备管理器权限遭恶意利用,衍生病毒攻击用户手机

设备管理器权限遭恶意利用,衍生病毒攻击用户手机

2018-05-07

概述

Google在Android2.2 (API level 8)新增了名为DevicePolicyManager的接口,可以帮助用户实现对手机安全管理和远程操作,如锁定屏幕、恢复出厂设置、清空手机上所有数据、远程修改屏幕密码等操作。




DevicePolicyManager开发的初衷是为了帮助用户解决手机丢失的数据泄露问题,基于该功能的手机找回功能已经成为各大安卓手机厂商的标配.

很悲催的是,一个正规的功能在黑产的手中马上就变成了一种”商业模式”,根据腾讯安全反诈骗实验室大数据显示:

包含设备管理器(DevicePolicyManager)权限样本中,病毒比例竟然高达63%。

恶意利用设备管理器权限地域分布趋势主要分布在:中国,印尼,马来西亚,印度,菲律宾,美国,巴西。

滥用设备管理器权限病毒类型主要以:银行支付类木马、勒索类病毒、社工诈骗类病毒、隐私窃取类病毒、虚假游戏外挂类病毒等。

恶意利用设备管理器病毒家族新增样本主要有三个类型:支付类病毒、置顶勒索病毒和资费消耗病毒为主,占比分别为:35.62%、32.06%和29.38%。

2017年度恶意利用设备管理器病毒类型分布占比:流氓行为病毒和隐私窃取病毒为主,占比分别为:39.83%和25.30% 

  • 流氓行为病毒类型中占比为主的病毒种类为:置顶勒索病毒占比36.92%
  • 隐私窃取病毒类型中占比为主的病毒种类为:支付类病毒占比24.62

1000-1999元价位的手机用户最容易遭受设备管理器类病毒攻击,其中毒率高达48%。

 

恶意利用设备管理器权限技术特点

恶意利用范围包含漏洞木马、植入“拦截码”模块、植入挖矿模块、置顶勒索模块、结合社工诈骗仿冒公检法等手法衍生出复合攻击型变种病毒


 


含有设备管理器权限安全样本和病毒样本比例分布

  • 含有设备管理器权限样本中,病毒比例高达63%
  • 病毒类型主要有: 银行/支付类木马、置顶勒索类病毒、社工诈骗类病毒、隐私窃取类病毒、游戏外挂类病毒等

 

恶意利用设备管理器权限地域分布趋势

地域主要分布在:中国,印尼,马来西亚,印度,菲律宾,美国,巴西。



恶意利用设备管理器病毒新增样本趋势

病毒类型以:支付类病毒、置顶勒索病毒和资费消耗病毒为主,占比分别为:35.62%、32.06%和29.38%


 

2017年年度恶意利用设备管理器病毒类型分布占比

流氓行为病毒类型中占比最高的病毒种类为:置顶勒索病毒,占比36.92%

隐私窃取病毒类型中占比最高的病毒种类为:支付类病毒,占比24.62%


 

 

恶意利用设备管理器病毒家族TOP 50榜单

恶意利用病毒家族主要是:支付类病毒、置顶勒索病毒和资费消耗病毒为主


 

Android系统设备管理器变化趋势


 

设备管理器权限病毒机型中毒占比

TOP机型中1000-1999元区间手机用户容易遭受设备管理器权限病毒攻击,占比:48%


 

设备管理器权限被植入恶意代码危害衍生趋势

10.1 用户点击取消激活的时候跳转到其他界面阻止取消激活设备管理器




10.2 流氓申请激活设备管理器权限,连续频繁弹出窗口,直至用户点击激活




10.3当用户取消设备管理器时,会马上锁定受感染设备屏幕,致使用户无法正常使用设备。


 

10.4 植入挖矿模块,运行后执行挖矿进程并一直持续下去,直到设备电量耗尽为止,当用户取消设备管理器时,关闭设备屏幕5-10秒,致使用户无法正常使用设备




10.5 植入拦截码病毒模块,诱导用户激活设备管理器通过隐藏后台潜伏在用户手机,拦截用户资金短信,窃取通讯录,通话记录等信息



 

10.6 植入置顶勒索病毒模块,当用户取消设备管理器时自动激活置顶勒索病毒模块,强制将自身界面置于设备屏幕上方,致使用户无法正常使用设备,并以支付解锁对用户进行勒索。




10.7 仿冒公检法植入置顶勒索病毒模块,当用户取消设备管理器时强制将自身界面置于设备屏幕上方,致使用户无法正常使用设备,并且弹窗提示用户,取消设备管理器,将重置手机数据。




10.8 诱导激活设备管理器阻止正常卸载,具备禁用USB功能,用户无法通过adb调试卸载。


 

DisallowUseUsb函数关闭USB的ADB调试和文件传输功能,禁用sub接口

 


设备管理器清理方案:

无ROOT权限清除方案:

* 使用adb命令行 “am force-stop  包名”可以强制关闭应用

* 使用手机管家查杀后即可查杀卸载病毒



安全建议

(1) 谨慎下载安装各类破解以及盗版应用,如破解的游戏等

(2) 建议从官方网站或正规应用市场下载安装应用,可以最大限度的保证下载应用的安全性 

(3) 安装腾讯手机管家等安全软件对手机进行安全检测,开启病毒库的自动更新服务(务必开启云查杀功能),第一时间拦截存在安全风险的应用安装


安全快讯 更多

腾讯手机管家检测率达100%

腾讯手机管家检测率达100%

2018-08-14
网络欺诈行为研究分析报告

网络欺诈行为研究分析报告

2018-08-08
2018上半年互联网黑产研究报告

2018上半年互联网黑产研究报告

2018-07-31

安全视频 更多

小管说安全(4)——狗阿旺的案情回顾

2017-12-06

手柄助手完美适配光荣使命

2017-11-30

小管说安全(3)——谣言有毒

2017-10-24