病毒常见手段-伪造输入法.PPT

移动设备客户端安全腾讯 - 无线安全产品部 Smartluo@ 恶意软件/病毒 现状(1) 2012年，腾讯移动安全实验室共检测截获手机病毒总量达到177407个 90%的病毒包集中在Android平台 2012年，腾讯手机管家共为手机用户查出了5699万次手机病毒 恶意软件/病毒 现状(2) 2012年，腾讯手机管家共为手机用户查出了近5699万次手机病毒 其中Android平台查出病毒次数3856万次 恶意软件/病毒 现状(3) 2012年，手机病毒大幅转向恶意扣费、隐私窃取与资费消耗类病毒行为，病毒制作者或制作机构追求短平快的盈利模式的倾向性加强。 Android病毒行为类型分布 2013年5月数据 来自腾讯移动安全实验室 手机病毒主要传播渠道 2013年5月数据 来自腾讯移动安全实验室 病毒常见手段-伪造,劫持 古老手段1: Activity/Intent劫持 古老手段2: Broadcast/Server伪造 古老手段3: Content Provider注入 一个简陋的Activity劫持例子(1) Intent使用了隐式方式(setaction)来标识intent消息,接收方通过action来接收消息,如果intent没指定谁来接收,就出事了。 Sample：一个正常的登录界面，触发同一个app另外一个界面，manifest如下： 一个简陋的Activity劫持例子(2) 无辜的app的发送intent的代码如下： 然后我们写一个山寨的app，在这货的manifest加入这个： 一个简陋的Activity劫持例子(3) 然后写了段貌似很正直的劫持代码… 然后就没然后了…看看效果: 手贱点错了… 病毒常见手段 – 二次打包 看看数据: 病毒常见手段-伪造顶层窗口 在第三方知名应用的指定页面上强行显示推送的广告信息。 Sample 样本: a.rogue.kuaidian360.（推荐密贼） 注:腾讯手机管家率先发现并支持查杀该病毒 病毒常见手段-本地文件安全 内嵌webview会保存一些帐号密码信息 使用sharepref存储一些机密信息 病毒常见手段-伪造输入法 该病毒感染国际知名输入法软件SwiftKey KeyBoard。 直接监听用户键盘输入，记录用户的信用卡、网银以及各种账户密码信息，造成用户隐私大规模泄漏。 a.privacy.keylogger（键盘黑手） 注:腾讯手机管家率先发现并支持查杀该病毒 病毒常见手段-高级手段举例 1 进程注入 条件: 有root的手机 特点:不需要改目标程序的代码, 可注入任意的api… 如 EditText.getText(), WebView.loadurl(), WifiInfo.getMacAddress()….. 2 DNS域名劫持 条件: 有root的手机 特点: 你懂的,与服务器的传输都不靠谱了… …… 建议广告: 腾讯手机管家 加强自身代码安全, 防止阴沟翻船 加强业界合作, 例如遇到必威体育精装版病毒样本, 腾讯手机管家还没收录的, 马上与我司联系~ 欢迎与我司各种深度安全的合作, 携手创造更好的用户体验! Thanks… 最后,谢谢大家