300余款知名應(yīng)用軟件被感染、受影響用戶高達(dá)2000余萬,，2018年以來,，首起千萬級感染量惡意推廣方式——“寄生推”惡意推送信息的軟件開發(fā)工具包（SDK），近日被騰訊安全成功捕獲,。經(jīng)騰訊安全專家分析發(fā)現(xiàn),，該SDK已經(jīng)被多款百萬級別用戶量的應(yīng)用集成使用。根據(jù)騰訊安全反詐騙實(shí)驗(yàn)室大數(shù)據(jù)顯示,，已有數(shù)十萬用戶的安卓設(shè)備ROM內(nèi)被植入相關(guān)的惡意代碼,，受其影響，用戶設(shè)備會(huì)不斷彈出廣告和應(yīng)用推廣,。這些惡意代碼,，還具備了繞過應(yīng)用市場檢測的兒童型，以及混進(jìn)應(yīng)用市場等潛在風(fēng)險(xiǎn),。

騰訊安全已經(jīng)就此事件,，第一時(shí)間向社會(huì)發(fā)布預(yù)警,，同時(shí)針對應(yīng)用開發(fā)者、應(yīng)用市場,、用戶分別提出安全建議和防范手段,，避免事態(tài)進(jìn)一步惡化。

“寄生推”存在已半年 海外安卓用戶受波及

從PC時(shí)代至今,，惡意推廣始終是不法商家,、黑產(chǎn)團(tuán)伙謀取非法利益的重要渠道。在“寄生推”SDK被捕獲之前,，國內(nèi)已經(jīng)出現(xiàn)過盜取用戶流量,、推送惡意廣告鏈接、竊取用戶信息等問題,。曾經(jīng)一度備受廣告商推崇的嵌入式廣告SDK,也經(jīng)常受人詬病,。某些廣告商為了方便開發(fā)者嵌入自家平臺(tái)的廣告，甚至公開廣告打包器,只要開發(fā)者應(yīng)用該類打包器,，就可以制作出嵌有該平臺(tái)廣告的應(yīng)用,。

而極低的二次打包成本，以及屢屢出現(xiàn)的惡意推廣行為,，也在一定程度上助長了黑產(chǎn)勢力的氣焰,。尤其是在網(wǎng)絡(luò)安全邊界、國界越來越模糊的當(dāng)下,黑產(chǎn)更是借助先進(jìn)的網(wǎng)絡(luò)技術(shù),，進(jìn)一步攫取不法利益,。

根據(jù)騰訊安全反詐騙實(shí)驗(yàn)室溯源發(fā)現(xiàn)，“寄生推”SDK從2017年9月份就已經(jīng)開始下發(fā)惡意代碼包,，植入惡意代碼到被它成功Root過的用戶設(shè)備上,。受影響用戶量在2018年1月逐步達(dá)到高峰，目前已趨于穩(wěn)定,。據(jù)測算,，每個(gè)惡意代碼包影響用戶量都在20萬以上。

此外,，騰訊安全反詐騙實(shí)驗(yàn)室披露的信息顯示,，隨著“寄生推”SDK的蔓延，開發(fā)者下發(fā)的惡意代碼影響范圍雖然主要集中在國內(nèi),但在國外其它地區(qū)也存在少量的感染用戶,。

惡意推廣技術(shù)手段升級 對抗殺毒軟件隱蔽性更強(qiáng)

相較于傳統(tǒng)惡意推廣SDK,，“寄生推”SDK的植入更加隱蔽，同時(shí)抗殺毒能力更強(qiáng),。在此之前,，騰訊安全反詐騙實(shí)驗(yàn)室團(tuán)隊(duì)依托騰訊安全大數(shù)據(jù)，及騰訊安全反詐騙實(shí)驗(yàn)室自研的TRPAI反病毒引擎,，捕獲到多款知名應(yīng)用,，在用戶設(shè)備上存在私自提權(quán),、靜默植入應(yīng)用等惡意操作，并發(fā)現(xiàn)這些應(yīng)用集成的“XX推”信息推送SDK存在重大嫌疑,。通過細(xì)致分析,，發(fā)現(xiàn)該SDK開發(fā)者可以通過云端控制的方式，對目標(biāo)用戶下發(fā)包含惡意功能的代碼包,，進(jìn)行相關(guān)隱秘操作,。

（“寄生推”SDK作惡流程）

騰訊安全聯(lián)合實(shí)驗(yàn)室反詐騙實(shí)驗(yàn)室技術(shù)工程師雷經(jīng)緯介紹，該信息推送SDK的惡意傳播過程非常隱蔽,，從云端控制SDK中實(shí)際執(zhí)行的代碼,，具有很強(qiáng)的隱蔽性和對抗殺毒軟件的能力，與“寄生蟲”非常類似,，故將其命名為“寄生推”,，將該信息推送SDK稱為“寄生推”SDK。

據(jù)介紹,，“寄生推”惡意推廣技術(shù),，可以讓利用該技術(shù)進(jìn)行惡意推廣的開發(fā)者完全掌握推送控制權(quán)，通過云端任意下發(fā)包含不同惡意功能的代碼包,，并且可以實(shí)現(xiàn)惡意代碼包和非惡意代碼包之間的隨時(shí)切換,，進(jìn)一步提升其隱蔽性。在用戶手機(jī)中隱蔽安裝后,，開發(fā)者就可以通過在軟件后臺(tái)自動(dòng)開啟惡意功能,，包括植入惡意應(yīng)用到用戶設(shè)備，進(jìn)行惡意廣告行為和應(yīng)用推廣等,，最終實(shí)現(xiàn)牟取灰色收益,。

雷經(jīng)緯還指出，從“寄生推”SDK的作惡手法來看,，惡意開發(fā)者有從開發(fā)惡意App應(yīng)用向開發(fā)惡意SDK轉(zhuǎn)變的趨勢,，新發(fā)現(xiàn)的SDK具有很強(qiáng)的隱蔽性和對抗殺毒軟件的能力。通過云端控制下發(fā)運(yùn)行邏輯,，可以繞過大多應(yīng)用市場的安裝包檢測和殺毒軟件的蜜罐檢測，導(dǎo)致受感染的應(yīng)用混入應(yīng)用市場,，不僅對用戶造成了危害,，也傷害了部分應(yīng)用的口碑，給應(yīng)用開發(fā)者帶來重大損失,。

安全形勢越來越緊迫 網(wǎng)絡(luò)安全需要新思維

“寄生推”SDK的爆發(fā),，更加反映出當(dāng)下和未來網(wǎng)絡(luò)安全形勢的嚴(yán)峻?！凹纳啤辈⒎莻€(gè)例,，在過去半年時(shí)間中,，從騰訊安全聯(lián)合實(shí)驗(yàn)室玄武實(shí)驗(yàn)室發(fā)現(xiàn)的“應(yīng)用克隆”攻擊模型，到如今影響范圍超過2000萬用戶的“寄生推”,，都反映出一個(gè)實(shí)質(zhì)性問題：傳統(tǒng)安全思維已經(jīng)難以滿足新形勢下的安全威脅,，各行各業(yè)都需要轉(zhuǎn)換安全思維，才能及時(shí)應(yīng)對可能出現(xiàn)的威脅,。

尤其是在物聯(lián)網(wǎng),、人工智能、量子科技涌現(xiàn)的大環(huán)境下,，黑產(chǎn)同樣瞄準(zhǔn)新技術(shù),、新模式，作惡手段也在同步升級,。騰訊副總裁馬斌就曾指出,，傳統(tǒng)安全防御方式已不適用于移動(dòng)互聯(lián)時(shí)代。PC時(shí)代,，互聯(lián)網(wǎng)安全以防為主,，漏洞防御只需及時(shí)更新補(bǔ)丁，黑客的攻擊范圍及攻擊手段都相對有限,。而到了移動(dòng)互聯(lián)時(shí)代,，用戶現(xiàn)實(shí)生活與數(shù)字生活邊界被打通，生活,、服務(wù)場景愈發(fā)融合,，再小的安全隱患都有可能引發(fā)全新的用戶、企業(yè),、社會(huì)安全的連鎖反應(yīng),，個(gè)人隱私與數(shù)據(jù)安全的保障需求相當(dāng)緊迫。

從 “寄生推”這起網(wǎng)絡(luò)安全事件來看,，其帶來的傷害是多方面的,，不僅僅涉及用戶，還有廠商,、開發(fā)者及應(yīng)用市場,。而這也提醒已經(jīng)融入互聯(lián)網(wǎng)生態(tài)的各方，移動(dòng)互聯(lián)時(shí)代,，安全思維需要升級,，比任何一個(gè)時(shí)代都更加需要各方的攜手合作，共同合力構(gòu)筑安全防線,。