前言

Google设计Android进程的设计是非常友好的，进程在不可见或者其他一些场景下APP要懂得主动释放，维护Android系统安全，然而低估恶意开发者“贪婪”，利用进程保护机制滋生很多流氓应用，破坏系统文件，资费受损，隐私泄露，推送恶意广告，导致设备资源浪费，破坏系统生态平衡。

安卓系统越难获取Root的背景下，无需Root进程保护成黑产攻击目标，恶意开发人寻找其他方式攻击，利用双进程保护，新增系统接口等。

恶意利用保活功能的风险软件前三，流氓广告，恶意扣费和风险软件，分别占比66%，18%和16%                 

基于用户需求及采用社会工程学原理进行攻击，攻击方式可分为，应用层，系统开放接口，二进制

应用进程保护滥用主要场景如下：

(1)  寻找设备漏洞获取Root，释放恶意进程保护文件。

(2)  利用双管道互相监听，保证双向监听进程是否存活。

(3)  调用系统新增接口

第一章 Android进程保活介绍

1.1 Android进程保活

Android进程常驻,顾名思义,就是要让应用的进程在内存中长期存在,在内存紧张的情况下,

会将一些进程kill ,释放一部分内存,希望能及时收到消息的APP，需要保持进程持续活跃,那么

就需要实施一些保活措施来保证进程能够持续存活,即 Android进程保活。

1.2 应用保活常用技术

1.3进程保活方案介绍 

1.3.1应用层

所谓的常规实用方案就是通过本身机制进行保活，应用层api接口,控制Service组件onStartCommand函数返回值。

通过Service生命周期接口中，前台服务或重启，在所有能触发onCreate,onDestory的情况下都有效

控制触发条件(蓝牙状态，网络变化，WiFi状态，屏幕亮灭，锁屏解屏,应用安装与卸载)

1.3.2 系统框架

通过构造Intent方式拉起恶意服务，这里贴一段某sdk推送的接受代码，自定义消息中重启Service服务。

植入恶意sdk插件方式,xx.sdk中应用在恶意应用植入成功后，恶意代码包通过start Service的方式拉起恶意应用的服务，长期隐藏在用户手机中。

系统开放API 接口,JobScheduler机制唤醒,（系统给5.x以上）接口,系统根据实现定时调用接口传递的进程去实现保活操作，若强制停止后依然可以正常的启动。

1.3.3本地二进制文件

这里列举经常在病毒中使用的Daemon二进制文件，保活方案(系统5.0以下）

原理：fork出子进程之后，让子进程成为新的孵化进程，并与其父进的会话组和进程组脱离，紧接着就是在子进程中定时去启动java层配置任务，自定义服务处于保活状态，长期在后台运行。

执行流程图如下：

部分代码片段，二进制文件执行命令行，am startService–user,应用层java配置任务

1.4 进程保护技术运用

第二章 进程保护病毒占比与案例

恶意利用进程保活分类占比

病毒利用保活技术前三，占比最高流氓广告66%，其次，恶意扣费和风险软件分别占比18%和16%。

进程保活家族七大家族占比

1)满足触发条件(网络切换，连接USB)等方式前置进程，Movers,DisguisedAd,Bombard病毒家族占比最高分别占比30%，27%和16%。

2)植入二进制文件保活方式，植入SH/ELF保活文件到系统目录方式守护恶意病毒进程,如叉叉SDK, Mobo病毒家族分别占比12%和1%。

3)系统新增接口和双进程保护方式，RottenSys,Romdown病毒家族分别占比11%和3%。

2.1 BanK提款机病毒

当宿主程序首次在运行时，通过解锁屏幕触发母包广播事件，从而加载子包并启动代理广播事件

随后在子包中开启母包恶意服务，并触发子包的代理并执行推广下行为。诱骗用户安装病毒。

技术点分析：

满足触发条件（定时器，联网改变，屏幕解锁，apk安装和卸载）触发广告服务。

恶意扣费短信记录

2.2 MoBo病毒

病毒通过仿冒网速监控器，手机清理工具、和播放器等应用进行传播，一旦用户手机不慎被感染，该病毒将立即下载提权文件来获取root权限，频繁推送广告通知激活恶意服务，监控短信，私发大量短信，注入大量恶意文件到手机系统用于守护病毒，私自下其他他软件

技术点分析：

ELF文件/system/xbin/.pr.io注入恶意文件至手机系统中

用于唤醒病毒主模块进程，并私自下载安装其他软件

2.3 RottenSys 病毒

此病毒软件恶意操作,保活推送子包并加载，获取root并执行插件,私自下载恶意广告插件,推送广告,并动态加载本地子包获取root权限,执行ELF脚本,伪装插件与服务器交互，长期驻内存保活并执行恶意操作。

技术点分析：

执行开源框架MarsDaemon来对自身服务进行长期保活

窃取用户信息

2.4 Magiclamp病毒

该通常将自己伪装成一些破解游戏和工具类软件通过主流的应用市场和部分软件下载站进行传播,用户一旦中招以后将通过云端下发子包保活，强迫用户安装应用,云端下发配置,通过配置参数发送服务器，下载保活子包，执行恶意操作。

技术点分析：

云端下载恶意子包服务

弹出广告弹框并诱导用户安装,弹出广告骚扰用户

2.5 DisguisedAd病毒

恶意程序名Security Defender，SecurityKeeper，Smart Security，Advanced Boost等名称      安全工具,扫描，清理垃圾节省电池，冷却CPU，解锁设备屏幕启动恶意服务，消息推送，WiFi存在     安全风险，存在风险提示。

技术点分析：

隐藏在应用列表名称

恶意程序隐藏功能设计不在指定机型运行

使用过程中弹窗”Your apps apps may be snooped”之类的虚假通知，提示某种操作。    

2.6叉叉SKD病毒

SDK“后门”,云端动态更新下发恶意代码包，Root用户手机，植入恶意脚步文件/ELF文件到系统目录长期隐藏在设备中，拉起恶意服务推送广告行为和应用。

执行脚本，其作用是将恶意应用copy到系统ROM内。

技术点分析：

一阶段，执行恶意脚本文价，其作用是将恶意应用copy到系统Rom隐藏设备中

二阶段,在恶意应用植入成功后，恶意代码包通过startService的方式拉起恶意服务执行操作。

2.7 Romdown 病毒

利用高版本系统(5.0以上)开放接口(jobscheduler)唤醒机制及插件化隐秘执行技术,其伪造成正常内存清理软件,运行后隐藏图标,隐藏后台工作,下载执行恶意插件，执行上传用户信息,对设备信息造成极大安全威胁。

技术点分析：

通过接受广播(蓝牙状态，网络切换，WiFi状态)等启动服务

系统5.0以上，使用jobSchedule新增系统接口，实现进程拉活

第三章 黑产利用趋势与厂商防御

第四章 安全建议及规范

恶意软件威胁隐私和财产安全带来的极大安全挑战，对手机用户隐私，财产等骚扰造成严重，如何有效的防范恶意软件的危害显得尤为重要，为应对未来严峻的安全挑战，腾讯安全已推出自研AI反病毒引擎腾讯TRP引擎通过对系统层的敏感行为进行监控，配合能力成熟的AI技术对应用行为的深度学习，能有效识别带有恶意风险行为软件，并实时阻断恶意行为，为用户提供更高智能的实时终端安全防护。

针对恶意软件开发者，腾讯反诈骗实验室基于海量的样本APK数据、URL数据和手机号码黑库建立了神羊情报系统，可以根据恶意软件的恶意行为、传播URL和样本信息进行聚类分析，溯源追踪恶意软件背后的开发者，给于精确打击，保护广大用户免受恶意软件危害。为尽可能避免恶意软件的危害，我们也给用户提出了以下几条防护建议：

（1）应该选用安全正规的App产品和服务，并选择正规应用商店下载安装。

（2）在选择应用下载推荐时，尽量选择大型可信网站，请勿点击来历不明的链接下载软件。

（3）养成良好使用习惯，不随意输入个人隐私信息，定期对设备系统进行安全检测和更新。

（4）当手机使用中异常发热和运行卡顿时，应及时使用腾讯手机管家进行扫描检测。