Transcript 移动设备客户端安全 - IT168.com

移动设备客户端安全
腾讯 - 无线安全产品部
[email protected]
恶意软件/病毒 现状(1)
 2012年，腾讯移动安全实验室共检测截获手机病毒总量达到177407个
 90%的病毒包集中在Android平台
 2012年，腾讯手机管家共为手机用户查出了5699万次手机病毒
恶意软件/病毒 现状(2)
 2012年，腾讯手机管家共为手机用户查出了近5699万次手机病毒
 其中Android平台查出病毒次数3856万次
恶意软件/病毒 现状(3)
 2012年，手机病毒大幅转向恶意扣费、隐私窃取与资费消耗类病毒行为，
病毒制作者或制作机构追求短平快的盈利模式的倾向性加强。
Android病毒行为类型分布
2.11% 1.47%
3.09%
4.02%
10.06%
资费消耗
40.41%
13.45%
隐私获取
诱骗欺诈
恶意扣费
流氓行为
25.39%
系统破坏
恶意传播
远程控制
2013年5月数据
来自腾讯移动安全实验室
手机病毒主要传播渠道
9%
6%
电子市场
23%
手机论坛
10%
软件捆绑
15%
20%
手机资源站
ROM内置
17%
二维码
网盘传播
2013年5月数据
来自腾讯移动安全实验室
病毒常见手段-伪造,劫持
 古老手段1: Activity/Intent劫持
 古老手段2: Broadcast/Server伪造
 古老手段3: Content Provider注入
一个简陋的Activity劫持例子(1)
Intent使用了隐式方式(setaction)来标识intent消息,接收方通过action来接收消
息,如果intent没指定谁来接收,就出事了。
Sample：一个正常的登录界面，触发同一个app另外一个界面，manifest如
下：
一个简陋的Activity劫持例子(2)
无辜的app的发送intent的代码如下：
然后我们写一个山寨的app，在这货的manifest加入这个：
一个简陋的Activity劫持例子(3)
然后写了段貌似很正直的劫持代码…
然后就没然后了…看看效果:
…
手
贱
点
错
了
病毒常见手段 – 二次打包
看看数据:
2013年5月感染游戏最多的十大手机病毒
病毒名称
病毒特征
该病毒被捆绑其他插件，启动后骗取用户安装，同时获取用户的手机信息，可能会给
a.privacy.popsp.h
用户的手机安全造成一定的威胁。
a.expense.fakekernel 该病毒感染雷电2、德州扑克等游戏，内嵌在正常软件中诱骗用户下载，当安装后在后
.[暗箭射手]
台私自下载推广软件造成用户手机流量消耗。
该病毒安装后，开机强制启动，从远端服务器自动下载恶意脚本代码，私自下载未知
a.expense.mdk
应用程序安装包，消耗用户流量，给用户造成资费消耗。
a.expense.afoynq.[游 该病毒感染黄金矿工等游戏，安装后，从远端服务器私自下载其他软件，本身为盗版
戏杀手]
软件，给用户造成资费消耗。
该病毒安装后，开机强制启动获取ROOT权限，私自联网下载未知软件，消耗用户流量
a.expense.emuint
资费。
a.rogue.kuaidian360. 该病毒感染铁拳3D等游戏，安装后，后台启动恶意监控，执行云端指令，私自占用第
[推荐密贼]
三方知名应用界面，强行显示广告信息，严重影响用户体验和存在流氓行为。
该病毒捆绑在热门应用中，植入恶意推广广告，无提示私自建立推广快捷方式，无提
a.expense.g3app
示私自下载推广软件的行为，给用户造成资费消耗。
该病毒安装后，开机强制启动，从远端服务器自动下载恶意脚本代码，私自下载未知
a.expense.mdk.b 应用程序安装包，消耗用户流量，给用户造成资费消耗。
该病毒安装后发送扣费短信，给用户带来经济损失。同时收集用户隐私信息发送到指
a.payment.fakefee 定服务器，泄漏用户隐私。
a.payment.fakeGame
该病毒感染地铁跑酷等游戏，安装后自动弹出扣费页面诱骗用户点击，私自发送扣费
短信，可能会给用户手机造成一定的威胁。
数据来源：腾讯移动安全实验室
感染游戏数
7048
3706
3516
3279
1356
1181
1010
930
689
228
病毒常见手段-伪造顶层窗口
Sample 样本: a.rogue.kuaidian360.（推荐密贼）
在第三方知名应用的
指定页面上强行显示
推送的广告信息。
注:腾讯手机管家率先发现并支持查杀该病毒
病毒常见手段-本地文件安全
内嵌webview会保存一些帐号密码信息
使用sharepref存储一些机密信息
病毒常见手段-伪造输入法
a.privacy.keylogger（键盘黑手）
该病毒感染国际知名输入法软
件SwiftKey KeyBoard。
直接监听用户键盘输入，记录
用户的信用卡、网银以及各种
账户密码信息，造成用户隐私
大规模泄漏。
注:腾讯手机管家率先发现并支持查杀该病毒
病毒常见手段-高级手段举例
1 进程注入
条件: 有root的手机
特点:不需要改目标程序的代码, 可注入任意的api… 如 EditText.getText(),
WebView.loadurl(), WifiInfo.getMacAddress()…..
2 DNS域名劫持
条件: 有root的手机
特点: 你懂的,与服务器的传输都不靠谱了…
……
建议&广告: 腾讯手机管家
加强自身代码安全, 防止阴沟翻船
加强业界合作, 例如遇到最新病毒样本, 腾讯手机管家还没收录的, 马上与我
司联系~
欢迎与我司各种深度安全的合作, 携手创造更好的用户体验!
Thanks…
最后,谢谢大家