安卓手机爆发“寄生推”病毒 2000 万用户遭遇恶意推广

如“ 寄生虫 ”一般的恶意推广手段正在严重影响上千万手机用户的使用体验。近日，腾讯 TRP-AI 反病毒引擎捕获到一个恶意推送信息的软件开发工具包（SDK）——“寄生推”，通过预留的“后门”云控开启恶意功能，进行恶意广告行为和应用推广，以实现牟取灰色收益。目前已有 300 多款知名应用受“寄生推 ”SDK 感染，潜在影响用户超 2000 万。

  超 300 多款知名应用遭“寄生推”病毒“绑架” 潜在影响超 2000 万用户

  大量用户已经受到了“寄生推”推送 SDK 的影响。根据腾讯安全联合实验室反诈骗实验室大数据显示，已有数十万用户设备 ROM 内被植入相关的恶意子包，受到影响的设备会不断弹出广告和地下推广应用。此外，这些恶意子包可以绕过大多应用市场的安装包检测，导致受感染的应用混入应用市场，给用户和应用开发者带来重大损失。

  更值得关注的是，感染“寄生推” SDK 的知名应用中，不仅类型丰富，更是不乏用户超过千万的巨量级软件，“我们估测超过 2000 万用户都受此威胁”，腾讯安全联合实验室反诈骗实验室技术工程师雷经纬表示。

  （图：“寄生推”推送 SDK 恶意子包影响范围广）

  传播过程酷似“寄生虫”：强隐蔽性+强对抗性

  “寄生推”不仅影响范围广，在传播路径上更是“煞费苦心”。据雷经纬介绍，该信息推送 SDK 的恶意传播过程非常隐蔽，从云端控制 SDK 中实际执行的代码，具有很强的隐蔽性和对抗杀毒软件的能力，与“寄生虫”非常类似，故将其命名为“寄生推”。

  具体表现为，首先，其开发者通过使用代码分离和动态代码加载技术，完全掌握了下发代码包的控制权；随后，通过云端配置任意下发包含不同功能的代码包，实现恶意代码包和非恶意代码包之间的随时切换；最后在软件后台自动开启恶意功能，包括植入恶意应用到用户设备系统目录，进行恶意广告行为和应用推广等，最终实现牟取灰色收益。

  如何远离手机中的“寄生虫”？安全专家三大建议

  为了帮助用户避免“寄生推”推送 SDK 的危害，腾讯手机管家安全专家杨启波提出以下三点建议：其一，SDK 开发者应尽可能的避免使用云控、热补丁等动态代码加载技术，要谨慎接入具有动态更新能力的 SDK，防止恶意 SDK 影响自身应用的口碑；其二，用户在下载手机软件时，应通过应用宝等正规应用市场进行，避免直接在网页上点击安装不明软件。

（图：腾讯手机管家查杀“寄生推”病毒）

  最后，用户应养成良好的安全使用手机的习惯，借助腾讯手机管家等第三方安全软件对手机进行安全检测，移除存在安全风险的应用。作为用户手机安全的第一道防线，腾讯手机管家借助腾讯 TRP-AI 反病毒引擎的检测及分析能力，进一步增强整体防御能力。据了解，腾讯 TRP-AI 反病毒引擎，首次引入基于 APP 行为特征的动态检测，并结合AI深度学习，对新病毒和变种病毒有更强的泛化检测能力，能够及时发现未知病毒，变异病毒，和及时发现病毒恶意代码云控加载，更为智能的保护用户手机安全。