<p>2017 年 &nbsp;Android 恶意软件专题报告 &nbsp;2018 年 3 月 01 日 &nbsp; 摘 &nbsp; &nbsp; 要 &nbsp; 2017年全年， 360互联网安全中心累计截获 Android平台新增 恶意软件 样本 757.3万个，平均每天新增 2.1 万。全年相比 2016 年（ 1403.3 万）下降 46.0%，从 2015 年来看，新增 恶意软件 呈现总体下降趋势 。 &nbsp; 2017 全年，从手机用户感染恶意软件情况看， 360 互联网安全中心累计监测到 Android用户感染恶意软件 2.14 亿，相比 2016 年 2.53 亿人次下降 15.4%，平均每天恶意软件感染量约为 58.5 万人次。 &nbsp; 2017 年 Android 平台新增恶意软件主要是资费消耗，占比高达 80.2%；相比 2016 年增加了 6 个百分点。 &nbsp; 2017 年从地域分布来看，感染手机恶意软件最多的地区为广东省，感染数量占全国感染数量的 10.4%；其次为河南（ 6.8%）、山东（ 6.5%） 、河北 （ 5.9%） 、 浙江 （ 5.9%）。 &nbsp; 2017 年 Android 平台恶意软件感染量最多的十大城市。北京（ 4.9%）、广州（ 2.1%）、重庆（ 1.8%）、成都（ 1.7%）、东莞（ 1.5%）。位居 Top10 的城市还有石家庄、深圳、郑州、南京、杭州。 &nbsp; 2017 年 恶意软件 使用了 多 种 新技术 ，分别是针对系统运行库的攻击，利用 Telegram 软件协议 远控，手机挖矿，手机僵尸网络发起 DDOS 攻击，使用 SOCKS 代理 和 SSH 协议穿透 内网 防火墙 ，恶意软件多级化，滥用应用多开技术以及高级定向攻击持续化。 &nbsp; 2017 年度 CVE Details 报告显示， Android 系统以 842 个漏洞位居产品漏洞数量榜首，与 2016 年 523 个相比，增长 61.0%。 &nbsp; 2017 年不断曝出 Android 漏洞在恶意样本上利用 ，利用的漏洞主要有 屏幕录制漏洞（ CVE-2015-3878） 、 脏牛漏洞（ CVE-2016-5195） 、 TYPE_TOAST（ CVE-2017-0752）和 Janus 安卓签名漏洞 （ CVE-2017-13156）。 &nbsp; Google 通过引入最新的机器学习模块和技术，显著提升了 Google Play 的安全检测能力，并能够有效发现假冒的软件、包含了违规内容的软件、以及恶意软件。 除此之外， Google还从系统和研发两个方面提升了整体安全环境。 &nbsp; 在协同打击网络犯罪方面， 截至 2017 年底，猎网平台已与全国 300 个地区的公安机关建立联系。全年协助各地区公安机关协查案件 219 起，破案 23 起，抓获嫌疑人共计 137人。 同时， 360 烽火实验室对外开展移动平台电子取证培训 10 余次，涵盖河南、长春、浙江等全国多地。在涉及移动平台的网络犯罪案件侦办中， 实验室通过溯源等分析手段，协助公安机关找到 恶意软件作者 QQ 号 ，手机号及邮箱 线索 31 万余条，案件涉及的恶意软件分析报告 18 篇。 &nbsp; 从移动威胁趋势上看，具备自动化和对抗能力的恶意软件工厂不断涌现 ，恶意挖矿木马愈演愈烈，公共基础服务成为恶意软件利用的新平台，脚本语言成为恶意软件新的技术热点，这 4 个方面将 成为今后的主要趋势。 &nbsp;关键词： 移动安全 、 恶意软件 、 漏洞利用、 网络犯罪 、 威胁趋势 目 &nbsp; &nbsp; 录 &nbsp;第一章 &nbsp;总体态势 &nbsp;. 1 一、 &nbsp;恶意软件新增量与感染量 &nbsp;. 1 二、 &nbsp;恶意软件危害分析 &nbsp;. 3 三、 &nbsp;地域分析 &nbsp;. 3 第二章 &nbsp;盘点恶意软件的新技术 &nbsp;. 5 一、 &nbsp;针对系统运行库的攻击出现 &nbsp;. 5 二、 &nbsp;利用 TELEGRAM软 件协议的木马首次出现 &nbsp;. 5 三、 &nbsp;挖矿木马再现身 &nbsp;. 6 四、 &nbsp;僵尸网络发起 DDOS攻击 &nbsp;. 6 五、 &nbsp;企业攻击进阶 &nbsp;. 7 六、 &nbsp;恶意软件出现多级化 &nbsp;. 8 七、 &nbsp;应用多开技术被滥用 &nbsp;. 9 八、 &nbsp;高级定向威胁持续进行 &nbsp;. 10 第三章 &nbsp;移动威胁持续进化 &nbsp;. 11 一、 &nbsp;严峻的系统环境 &nbsp;. 11 二、 &nbsp;厂商漏洞修复情况 &nbsp;. 12 三、 &nbsp;漏洞利用情况 &nbsp;. 12 第四章 &nbsp;技术创新夯实安全的堤防 &nbsp;. 16 一、 &nbsp;系统更新遏制手机勒索 &nbsp;. 16 二、 &nbsp;开发规范约束进一步增强 &nbsp;. 17 第五章 &nbsp;万物皆变人是安全的尺度 &nbsp;. 18 一、 &nbsp;网络诈骗综述 &nbsp;. 18 二、 &nbsp;警企协同打击网络犯罪 &nbsp;. 19 第六章 &nbsp;威胁趋势预测 &nbsp;. 21 一、 &nbsp;具备自动化和对抗能力的恶意软件工厂不断涌现 &nbsp;. 21 二、 &nbsp;恶意挖矿木马愈演愈烈 &nbsp;. 22 三、 &nbsp;公共基础服务成为恶意软件利用的新平台 &nbsp;. 23 四、 &nbsp;脚本语 言成为恶意软件新的技术热点 &nbsp;. 23 附录一：参考资料 &nbsp;. 25 &nbsp;360 烽火实验室 &nbsp;. 27 &nbsp;1 第一章 &nbsp;总体态势 &nbsp;一、 &nbsp;恶意软件 新增量与感染量 &nbsp;2017年全年， 360互联网安全中心累计截获 Android平台新增 恶意软件 样本 757.3万个，平均每天新增 2.1 万。全年相比 2016 年（ 1403.3 万）下降 46.0%，从 2015 年来看，新增 恶意软件 呈现总体下降趋势，且今年下降幅度较大，显示了移动 恶意软件 总体进入平稳高发期。 &nbsp;下图是 2017 年各月 Android 平台新增 恶意软件 样本量的分布图。由图可见，新增 恶意软件 整体呈现上半年高、下半年低的态势，即 1-5 月新增 恶意软件 量整体呈现曲线上升，在5 月达到最高峰。下半年除 8 月为 78.0 万个新增样本外，其余月份均较低。 &nbsp; 2 2017 全年，从手机用户感染 恶意软件 情况看， 360 互联网安全中心累计监测到 Android用户感染 恶意软件 2.14 亿，相比 2016 年 2.53 亿人次下降 15.4%，平均每天 恶意软件 感染量约为 58.5 万人次。 &nbsp;从近六年的移动 恶意软件 感染人次看，经过 2012-2015 年的高速增长期， 2016 和 2017年呈现下降趋势，说明手机 恶意软件 进入平稳期。 &nbsp;下图是 2017 年 Android 平台新增 恶意软件 感染量的按季度对比情况，每季度的新增恶意样本均在下降。 &nbsp;全年来看， 2017 年四个季度的感染量呈现下降趋势。其中二季度最高约为 5934.8 万人次，四季度的感染量则最少，仅为 4493.7 万人次。 &nbsp; 3 二、 &nbsp;恶意软件 危害分析 &nbsp;根据中国反网络病毒联盟的分类标准， 360 互联网安全中心在 2017 全年监测的 Android平台 恶意软件 的分类统计如下图。从图中可见， 2017 年 Android 平台新增 恶意软件 主要是资费消耗，占比高达 80.2%；相比 2016 年增加了 6 个百分点。 &nbsp;资费消耗类型的恶意样本占比已达到 3/4，说明移动端 恶意软件 依然是以推销广告、消耗流量等手段，增加手机用户的流量资费等谋取不法商家的经济利益。当前主流运营商的资费模式重心已经转向流量，而不再单纯倚重语音通话。资费消耗类 恶意软件 对用户资费造成的影响还是比较明显。 &nbsp;三、 &nbsp;地域分 析 &nbsp;2017 年从地域分布来看，感染手机 恶意软件 最多的地区为广东省，感染数量占全国感染数量的 10.4%；其次为河南（ 6.8%）、 山东（ 6.5%） 、河北 （ 5.9%） 、 浙江 （ 5.9%）。 &nbsp; 4 下图给出了 2017 年 Android 平台 恶意软件 感染量最多的十大城市。毫无疑问，北京用户感染 Android 平台 恶意软件 最多，占全国城市的 4.9%；其次是广州（ 2.1%）、 重庆 （ 1.8%）、成都 （ 1.7%）、 东莞 （ 1.5%）。位居 Top10 的城市还有 石家庄 、 深圳 、 郑州 、 南京 、 杭州 。 &nbsp; 5 第二章 &nbsp;盘点 恶意软件 的新技术 &nbsp;一、 &nbsp;针对系统运行库的攻击出现 &nbsp;今年 4 月在 Google Play 应用商店上发现了新的系统级恶意软件 Dvmap1。它根据Android 系统的版本将恶意代码注入到系统库 libdmv.so 或 libandroid_runtime.so 中，这两个库都是与 Dalvik 和 ART 运行时环境相关的运行时库。注入之后会 以 Root 权限 替换系统正常文件 ，同时 部署恶意模块 。 恶意模块能够关闭 谷歌对于应用的安全检查 （ Verify Apps）功能 ，并且 更改系统设置去操作安装任何来自第三方应用市场的应用程序。 &nbsp;图 2.1： Dvmap 家族代码片段 &nbsp;二、 &nbsp;利用 Telegram软件协议的木马 首次出现 &nbsp;今 年 6 月 国外安全厂商 首次发现 利用 Telegram 软件协议 控制的木马Android.Spy.377.origin2。 它不但能够盗取用户手机中的隐私信息，并且还可以远程控制手机拨打电话、发送短信，删除手机中指定文件等。 &nbsp;Telegram 是以云端为基础的轻量级即时通讯软件 ， Telegram Bot 是基于 Telegram 客户端的第三方程序。用户可以通过向 Bot 发送信息、照片、指令、在线请求等一系列的方式于 Bot 互动。 Bot 的所有者通过 Bot 的 API 访问并请求 Telegram Server 的信息。 &nbsp;由于电报信息交换协议提供了简单的通信方式，攻击者无需在受害者的设备上启用端口转发。然而攻击者首先需要开发自己的 Bot，这个 Bot 生成的令牌嵌入到木马的配置文件中。一旦受害者设备被感染，攻击者就能够通过自动创建的通道来控制它。 &nbsp;图 2.2：使用 Telegram protocol 控制原理 &nbsp; 6 三、 &nbsp;挖矿木马再现身 &nbsp;挖矿木马最早是 2013 年在 PC 平台上被发现，而首个手机挖矿木马 CoinKrypt3最早被国外安全厂商在 2014 年 3 月曝光。手机挖矿木马经过一阵沉寂后，随着电子加密货币价格的一路走高，恶意软件作者又重新将目标转向了挖矿 。 &nbsp;在代码层上的表现形式为，早期恶意软件使用了开源的矿池代码库进行挖矿，今年曝光的恶意软件使用矿池提供的浏览器 JavaScript 脚本进行挖矿。由于浏览器 JavaScript 挖矿脚本配置灵活简单，具有全平台化等特点，受到越来越多的恶意挖矿木马的青睐，同时也导致了利用 JavaScript 脚本挖矿的安全事件愈发频繁。 &nbsp;图 2.3： 攻击者通过挖矿木马赚取收益的攻击流程 &nbsp;四、 &nbsp;僵尸网络发起 DDOS攻击 &nbsp;2017 年 8 月多个内容分发网络（ CDN）和内容提供商受到来自被称为 WireX 的僵尸网络的严重攻击。 &nbsp; 7 图 2.4： WireX 僵尸网络每小时增长量 4 WireX 僵尸网络主要由运行恶意应用程序的 Android 设备组成，它 使用了三种攻击方式： &nbsp;1. UDP Flood： WireX 会创建 50 个线程，每个线程中都会连接该主机和端口，开启 Socket之后，使用 UDP 协议发送随机数据，每次会发送 512 个字节的数据，一个线程中一共会发送一千万次，也就是 &nbsp;10000000*512=5120000000 字节的数据，因为一共实现了创建了 50 个线程，所以，理论上会发送 10000000*512*50=256000000000（ 2560 亿）字节 。 &nbsp;2. Deceptive Access Attack： WireX 会创建 20 个 WebView，然后使用每个 WebView 访问要攻击的网站。 &nbsp;3. Deceptive Click Attack： WireX 会模拟鼠标事件进行点击 ，点击要 攻击的网站 页面中所有的 URL 链接。 &nbsp;图 2.5： WireX 僵尸网络三种攻击方式 &nbsp;五、 &nbsp;企业攻击进阶 &nbsp;针对企业内网安全的攻击， 继去年 6 月份首次出现的 DressCode5恶意家族后， 今年 又出现了利用移动设备攻击企业内网的 新的恶意家族 MilkyDoor6。 &nbsp;然而，与 DressCode 不同的是， MilkyDoor 不仅利用 SOCKS 代理实现从攻击者主机到目标内网服务器之间的数据转发，而且利用 SSH(Secure Shell)协议穿透防火墙，加密传输数据，进而实现数据更隐蔽的传输。 &nbsp;MilkyDoor 木马采用远程端口转发实现数据加密传输，整个过程步骤如下： &nbsp;1. 木马主动与攻击者主机建立一个 SSH 安全连接。 &nbsp;2. 攻击者主机将数据发送到它的 R 端口上。 &nbsp;3. 位于攻击者主机端的 SSH 服务器接收到 R 端口上的数据后，将其加密并转发到位于木马端的 SSH 客户端上。 &nbsp;4. SSH 客户端解密收到的数据并将其转发到木马监听的 L 端口上。 &nbsp; 8 图 2.6： 攻击者利用远程端口转发传输数据的过程 &nbsp;六、 &nbsp;恶意软件出现 多级 化 &nbsp;在恶意软件对抗方面， 今年 曝光的 Chamois 恶意家族，拥有多种分发渠道。它是 Google认为迄今为止在 Android 平台 上看到的最大的 PHA（ Potentially Harmful Application） 家族之一 。 &nbsp;早在 2013 年在 Google Play 上就发现有通过联网指令控制延迟下载恶意软件，从而绕过 Google 扫描器检测阶段的恶意家族 Badnews8。相比 Badnews， Chamois 采用了多级化技术手段，它的代码使用不同的文件格式在 4 个不同的阶段执行。 这个多阶段的过程使得这个家族在检测过程中变得更加复杂，因为必须 执行 第一阶段才能达到第二阶段，执行第阶段才能达到第三阶段，依次执行 才能到达恶意的部分。 &nbsp; 9 图 2.7： Chamois 恶意家族 使用不同的文件格式在 4 个不同的阶段中执行 流程 7 七、 &nbsp;应用多开技术被滥用 &nbsp;VirtualApp9（简称 VA） 是一个 App 虚拟化引擎。 它能够 创建一个虚拟空间，可以在虚拟空间内任意的安装、启动和卸载 APK，这一切都与外部隔离，如同一个沙盒。运行在VA 中的 APK 无需在外部安装，即 VA 支持免安装运行 APK。 VA 目前被广泛应用于双开 /多开、应用市场、模拟定位、一键改机、隐私保护、游戏修改、自动化测试、无感知热更新等技术领域。 &nbsp;正是由于 VA 的应用广泛， 也被 恶意软件 滥用 。滥用实例主要为 免杀、 木马及广告。 &nbsp;图 2.8： VirtualApp 滥用情况 &nbsp; 10 1. 免杀：由于 VA 特性，恶意软件常以子包形式加密存储在 VA 内，在引擎扫描时使用VA 的样本，主包代码特征表现一致，而子包由于加密 导致引擎无法识别，从而绕过杀软静态检测。 &nbsp;2. 木马： 以 Trojan-Spy.AndroidOSittre10家族为例， 通过 VA 启动 Twitter， Twitter 启动后，修改后的 VirtualCore 模块 Hook 了 EditText 类的 getText 函数， 从而 在 Twitter登录窗口劫持用户的输入。用户的登录凭据被捕获后，恶意软件将其上传到远程服务器上。 &nbsp;3. 广告：今年使用 VA 技术的广告开始出现，通常使用 VA 的主包会在手机桌面创建了多个快捷方式，当用户点击快捷方式时，它会启动主包内相应的应用程序。对于这种启动方式与默认的启动方式 相比很难进行区分，并且无需安装减少了用户操作过程，很大程度上既推广了应用，又避免了被用户发现。 &nbsp;八、 &nbsp;高级定向威胁持续进行 &nbsp;APT 攻击（ Advanced Persistent Threat，高级持续性威胁）堪称是在网络空间里进行的军事对抗，攻击者会长期持续的对特定目标进行精准的打击。 &nbsp;2017 年，曝光了一系列涉及移动平台的 APT 组织行动 。与 2016 年相比， 从披露的 组织活跃度看，双尾蝎（ APT-C-23） 11组织 在 2017 年中较为活跃。其 在 攻击中使用的恶意软件不断改进， 所使用的新变种 VAMP12、 FrozenCell13和 GnatSpy14相继 曝光 。 &nbsp;对比攻击目标和攻击国家， 从攻击目标上， 2017年移动平台的 APT攻击目标增加医疗、教育和金融 方向； 从攻击国家上， 包括 中国在内 全球多个国家均是 APT 攻击的受害国 。 &nbsp;从影响的移动平台看，去年曝光的 NSO Group15组织 制作的 恶意软件 Android 版本 被发现 ，与 iOS 版本最大的不同是 Android 版本使用的是 Framaroot 方案 提升软件权限 ， 而 没有使用零日漏洞。 另外，像双尾蝎、 Operation Manul16组织在 PC 端和移动端出现了相同控制 C&amp;C 信息，这也表明 APT 攻击向着平台组合化方向发展。 &nbsp;图 2.9： 2017 年涉及移动平台的 APT 攻击行动 &nbsp; 11 第三章 &nbsp;移动威胁持续进化 &nbsp;一、 &nbsp;严峻的系统环境 &nbsp;Android 系统开源就意味着在安全问题上显得更加透明，运用工具审查安全漏洞变得更容易。根据汇总 CVE 数据的网站出具的 2017 年度 CVE Details 报告显示， Android 系统以842 个漏洞位居产品漏洞数量榜首，与 2016 年 523 个相比，增长 61.0%，继续蝉联漏洞之王。 &nbsp;图 3.1： 2017 年 CVE 网站产品漏洞数量 TOP 排名情况 17 Google 每次发布 Android 新版本，对系统安全性都有所增强，但是由于 Android 系统碎片化严重，系统版本更新速度慢，系统安全环境整体提升受到影响。 &nbsp;截止 2018 年 1 月， Google 发布的 Android 系统版本分布统计， Android Marshmallow（ Android 6.0）总占比已达 28.6%，占比第二的是 Android Nougat（ Android 7.0/7.1）达到26.2%，而最新系统版本 Android Oreo（ Android 8.0/8.1）仅占 0.7%。 &nbsp;图 3.2： 截止 2018 年 1 月 Android 系统版本分布 占比情况 18 &nbsp;12 二、 &nbsp;厂商漏洞修复情况 &nbsp;Android 操作系统目前仍未有非常完善的补丁机制为其修补系统漏洞，再加上 Android系统碎片化严重，各手机厂商若要为采用 Android 系统的各种设备修复安全问题则需投入大量人力物力。受到 Android 系统的诸多特性的影响，系统版本的碎片化问题日益突出。就每一款手机而言，厂商在其维护周期内，通常会隔一段时间向用户推送一次升级版本，而用户在大多数情况下可以自主选择升级或不升级。综合这些特性，在 Android 系统的安全漏洞方面，也产生了严重的碎片化问题。 &nbsp;根据 2017 年度安卓系统安全性生态环境研究报告数据，下图为各厂商手机中实际存在的安全补丁级别情况，该情况是将各厂商现存手机中实际补丁日期与谷歌官方最新版本（ 2017 年 12 月）版本对比，综合安全补丁级别最高、最新的手机品牌前 5 名。图中绿色方块面积越大，说明该厂商的手机补丁级别相对越高，漏洞修复相对越及时；相反，如果黄色和橙色面积越大，则说明补丁级别越低，漏洞修复越滞后。 &nbsp;图中 我们可以看出，在 及时 推送 安全补丁 级别方面， TOP5 的 厂商 在本季度 的检测结果显示 较好 ， 而且在本 季度 的 调研 中 这 五个厂商均 有保持 与 谷歌 最新 安全 补丁同 步 的 更新提供 ，这 也显示了 厂商 对于 用户 手机中安全补丁 等级 的逐步重视 。 &nbsp;三、 &nbsp;漏洞利用情况 &nbsp;综合上述对 Android 系统环境的介绍，我们可以看出仍然存在大量未升级至新版本系统和未打补丁的设备正在被使用，这些与安全更新脱节的现象直接导致用户手机暴露于各种漏洞的威胁之下，可造成用户的隐私、财产安全。 &nbsp;2017 年开始不断曝出 Android 漏洞在恶意样本上 利用 ，下面我们以恶意样本漏洞利用的实例，来分析漏洞对 Android 用户的实际威胁： &nbsp;(一 ) 屏幕录制漏洞 &nbsp;屏幕录制漏洞（ CVE-2015-3878） 19是我们在 2015 年发现并提交给 Google 安全团队， &nbsp; 13 Google 在 Android 5.0 中引入了 MediaProjection 服务， MediaProjection 服务可以让应用开发者获取屏幕内容和记录系统音频。在 Android 5.0 之前，应用开发者需要应用在 Root权限下运行或者用设备的 Release Key 对应用进行签名，只有这样才可以使用系统保护的权限来获取屏幕内容。而且，使用 MediaProjection 服务时，不需要在 AndroidManifest.xml 中声明请求的权限。 &nbsp;为了使用 MediaProjection 服务，应用只需要通过 intent 请求系统服务的访问权限。对系统服务的访问是通过 System UI 的弹窗提示用户请求的应用要获取屏幕内容来授权的。 &nbsp;攻击者可以用任意消息来覆盖 System UI 的弹窗提示，诱使用户点击并授权攻击者的应用获取屏幕内容。 &nbsp;2017 年 12 月被 ANVA 反病毒联盟曝出，有恶意样本使用该漏洞 针对 Android 5.0-6.0系统的手机进行屏幕截图 ， 使用进程保护技术，窃取用户隐私 。 &nbsp;图 3.3： 恶意软件 执行流程 20 (二 ) 脏牛漏洞 &nbsp;脏牛漏洞（ CVE-2016-5195） 21首次公开于 2016 年 ， 是基于 Linux kernel 的 一个严重的 提权 漏洞，允许攻击者获得目标系统 访问 的 Root 权限。 &nbsp;2017 年 9 月，国外安全厂商披露了第一个利用脏牛漏洞的恶意样本。而实际上 ， 我们早在 4 月份就已经捕获到了利用该漏洞的恶意软件，脏牛漏洞最早被运用在 Dvmap 家族中 ，主要作用是利用脏牛漏洞提升权限并且替换系统文件。 &nbsp; 14 图 3.4： 在 Dvmap 中 利用 脏牛漏洞替换系统文件代码片段 &nbsp;(三 ) Toast Overlay攻击 &nbsp;Overlay 攻击需要在其他运行的应用、窗口或进程上绘制和叠加 Android 视图 (例如图像或者按钮 )。 Toast Overlay 攻击的典型场景是，欺骗用户点击攻击者指定的非法的窗口或按钮。“ Toast”窗口 (TYPE_TOAST)是 Android 上支持的 Overlay 类型之一，用于显示其他应用程序的通知。 然而， TYPE_TOAST 类型的窗口未进行权限检查，所以不需要请求SYSTEM_ALERT_WINDOW 权限 。 &nbsp;TYPE_TOAST（ CVE-2017-0752） 22漏洞影响范围广，除了 Android 最新版本 (8.0/Oreo)外，所有低版本的用户均受到该漏洞的影响。 &nbsp;图 3.5： TYPE_TOAST 类型的窗口未进行权限检查 23 2017 年 11 月，国外安全厂商发现第一例使用 Toast Overlay 攻击的恶意家族TOASTAMIGO，它利用 Android 的 Accessibility 辅助功能，使其具有广告点击、应用程序安装、自我保护 /持久性功能。 TOASTAMIGO 在授权后，会启动一个窗口，表明可以“分析”应用程序。而在这个窗口背后，应用程序会执行操作或指令，包括安装第二个恶意应用。 &nbsp; 15 图 3.6： 利用 Toast Overlay 攻击的恶意家族 TOASTAMIG 攻击原理 24 (四 ) Janus 安卓签名漏洞 &nbsp;Android 12 月安全公告中披露了一个名为“ Janus”的 高危 漏洞（ CVE-2017-13156） 23，攻击者可以利用该漏洞绕过 Android 系统的 Signature Scheme V1 签名机制，直接对 App 进行篡改。由于签名和验证机制是 Android 系统整体安全机制建立的最基础部分，利用该漏洞可以绕过整个 Android 系统的安全机制。基于 Signature Scheme V1 签名机制的 App 在Android 5.1 到 8.0 系统均受“ Janus”漏洞影响。 &nbsp;一般来说，恶意软件有两种方式 来利用这个漏洞。一种是可以用来隐藏 Payload。恶意软件会把自己伪装成一个干净的 DEX 文件，而恶意 Payload 文件存储在 APK 文件中之后加载 ，同期，国外安全厂商捕获到利用该漏洞的恶意软件 ANDROIDOS_JANUS.A24就使用了这种方式 ；另一种是在原始开发者不知情的情况下更新已经安装的应用。 攻击者可以用这种方式来访问原来的应用中受保护的数据，比如用户身份证书信息和隐私信息。冒充合法应用的身份还可以绕过杀软等安全解决方案。 &nbsp; 16 第四章 &nbsp;技术创新夯实安全的 堤 防 &nbsp;在对抗不良应用和恶意开发者方面，根据 Google官方数据 25显示， 2017年 Google Play应用商店 下架了超过 70 万款违反了 Google Play 政策的应用程序 ， 而这个数字跟 2016 年相比增长了 70%。这不仅说明 Google 移除了更多的恶意软件，而且还表明 Google 能够在恶意 软件 攻击阶段的早期更加准确且快速地发现它们。实际上，其中有 99%的恶意软件在用户真正安装它们之前就已经被成功识别并删除了。 &nbsp;Google通过引入最新的机器学习模块和技术，显著提升了 Google Play的安全检测能力，并能够有效发现假冒的软件、包含了违规内容的软件、以及恶意软件。 &nbsp;另外， Google 还研发出了新的检测模块以及检测技术来发现那些恶意开发者。在 2017年 ， Google 对 10 万 名恶意开发者创建新账号并发布其他 软件 增加了 难度。 &nbsp;除此之外， Google 还从 系统和研发 两个方面提升了 整体安全环境 。 &nbsp;一、 &nbsp;系统更新 遏制手机勒索 &nbsp;Google 对 Android 系统安全十分重视 。 从 2015 年开始提出了月度公共安全更新计划，主要是为了及时提供漏洞信息和补丁，带动各个手机厂商及时更新系统修复漏洞。 同时 ，Android 系统 版本在不断更新， 每一个版本在 系统安全 方面都有明显的改进 。 &nbsp;纵观 Google 在 Android 系统 安全方面的更新 ，每一版都在遏制 恶意软件方面做出了积极 应对 ，这其中就包括勒索软件。 &nbsp;在早期的 Android L 版本 中， 获取当前运行栈顶程序 getRunningTasks 方法 被废弃，阻止了 了劫持 Activity 类 的 勒索软件 。 &nbsp;Android M 版本中， 悬浮窗权限 SYSTEM_ALERT_WINDOW 开始被列为一种危险程度较高的权限 ， 使用时 需要 用户动态授权 ， 防止 用户 手机 在毫无防备的情况下 被 锁定， 通过用户授权干预，能起到 一定程度的 缓解作用 。 &nbsp;Android N 版本中明确规定，第三方应用开发者只能使用 resetPassword API 为无密码设备设置初始密码，而不能重置或清除已有的设备密码。 Android N 中对于 resetPassword API所添加的限制能阻止 手机勒索软件 对已有锁屏密码的重置，从而使得部分 使用该手段的 勒索软件失效。 &nbsp;2017 年 Google 发布了最新 Android 版本（ Android 8.0/Oreo） ， 在新版本中 Android 禁用了 5 种窗口类型。 其中 ， 3 种 是 勒索软件常用的系统窗口类型 ，从而 进一步遏制手机勒索软件 。 &nbsp;图 4.1： Android 在各个版本中遏制恶意软件的措施 &nbsp; 17 二、 &nbsp;开发规范 约束 进一步增强 &nbsp;开发阶段是一个应用生命周期的启点，开发规范 既 能够约束开发者养成了良好的编码习惯，同时 又 能保障应用的代码安全。 为了避免权限被滥用， Android 8.0/Oreo 加强了权限控制 26。 在 Android 8.0/Oreo 之前，如果应用在运行时请求权限并且被授予该权限，系统会错误地将属于同一权限组并且在清单中注册的其他权限也一起授予应用。 &nbsp;对于针对 &nbsp;Android 8.0</p>