一、概述

CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android病毒主要以底层化为发展方向，与传统的加固混淆相比，底层的对抗技术可以为病毒带来更多的可能性。近期出现的大量针对安全软件的病毒说明，一向以伪装防御为主的病毒有转向主动攻击的倾向。

本文主要基于4月份以来CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android底层病毒的统计数据，以最近再度活跃的百脑虫家族为重点，分析病毒发展趋势并介绍最近出现的新型攻击方式。

二、近期底层病毒态势

从4月份系统级病毒占比来看，“寄生灵”(ESE.Backdoor..AndNative.Spm)病毒持续活跃占比高达41.30%，以替换系统Debuggerd文件为主的ESE.Backdoor..AndNative.FakeDebuggerd活跃度依旧很高占比达到7.68%，“地狱火”系(ESE.Backdoor..AndNative.Vold和ESE.Backdoor..AnCurl)病毒逐渐进入衰减期。

三、惊现“微信刷榜”病毒

同期，我们监控到一组ESE.Backdoor..AndNative.Msm病毒，该病毒使用ProtocolBuffers与服务器进行通信，具有模拟游览微信公众号内容的功能，病毒作者通过大量僵尸设备对指定（远程命令）微信公众号进行刷量。

“微信刷榜”病毒后台监控数据

四、“百脑虫”2代开始活跃

近期，我们收到多例用户反馈，手机感染了一种难以清除的病毒。该病毒一旦运行，手机设备将不断弹出广告，自动下载、安装和启动各种恶意应用。常规手段无法彻底清除该病毒，手机一旦重启该病毒立刻“复活”，并导致某些安全软件无法响应。

(一) 恶意行为

利用多家Root SDK进行提权，获取手机最高权限后，向系统分区植入Optd、Conbb、Gpsrd等核心文件，并替换系统启动脚本。

新变种远程接受控制命令，静默下载、安装和启动恶意应用，并在界面生成诱惑性图标，诱导和欺骗用户点击。

病毒一旦运行，将会不断弹出全屏广告，这类广告主要包括色情应用、热门游戏和清理软件，并弹出安装和支付按钮，诱导用户点击。

同时我们监控到“百脑虫”2代具有禁止安全软件联网，把病毒自身特征写入到安全软件本地白名单中的恶意行为。

(二) 感染分布

据360互联网安全中心监测到的数据， 2017年1-4月“百脑虫”新变种病毒平均月新增40W，累计感染量已达百万级。其中广东省、河南省、山东省、四川省是感染重灾区。

(三) 传播方式

生活服务类应用和色情诱惑类应用

重打包、伪装热门游戏应用和工具软件

伪装系统应用，内置系统ROM中

五、总结

移动端病毒经历了从应用层到系统底层的重大演变后，替换系统文件、禁用安全软件、多个进程相互守护复活已然成为众多病毒作者的“常规武器”，禁止安全软件访问网络、修改安全软件病毒库已成为病毒作者突破本地防御系统的“新型武器”。