恶意软件伪装成合法应用绕过Doze限制 私自下载其他应用窃取用户隐私数据

法制网记者 王开广

Doze机制极大地限制了白名单外应用对网络，CPU和系统其它资源的占用比例。这意味着对于木马等恶意软件来说，利用设备闲置时段进行私自下载，窃取用户隐私数据等行为以防止用户感知的企图落空。随着使用Android 6.0及更高版本的设备数量不断增加，恶意软件伪装成合法应用绕过Doze限制势在必行。

这是360手机卫士、360互联网安全中心和360烽火实验室近日联合发布的《Android Doze机制与木马的绕过方式》披露的。

记者了解到，Android 6.0引入的Doze机制本意在于节省系统耗电量，延长电池的使用时间，但是却在抑制恶意软件对系统资源的占用上发挥了神奇的效果，恶意软件因此也开始探索绕过Doze机制的手段。在Android 6.0以前，内核通过任务调度机制来决定应用程序对资源的占用，而Doze的产生意味着在内核之上产生了一层优先“调度”机制，这层“调度”机制能够改变应用程序对于系统资源的占用比例。

据360手机卫士相关负责人介绍，在Android 6.0以前，恶意软件对资源的占用权利同其他同级应用一样，均由内核统一调度。而引入Doze之后，应用程序对资源的占用权利将按功能的需要予以适当分配，这意味着正常的应用程序由于其功能的“正当性”将更容易获得系统资源，而恶意软件将由于其功能的“非法性”而更难获得系统资源。

“Doze机制对恶意软件资源占用产生的不利影响极有可能遏制恶意软件在用户机器上的表现，使其达不到预期的不良意图，因而我们推断必将产生多种绕过Doze的手段，下文将为大家揭露近期发现的一种。”360手机卫士相关负责人如是说。

360烽火实验室最新发现一款伪装成Chrome绕过Doze的应用，该恶意软件从图标到名称与正版Chrome完全一致。该病毒运行后会隐藏其图标并释放运行子包，通过发送Intent诱使用户将其加入白名单。

值得一提的是，除使用欺骗手段绕过Doze外，该恶意软件将会在后台私自联网，通过精心构造的手段获取、拼接URL，私自下载其他应用并提示用户安装。此外，该恶意软件注册BroadcastReceiver监听多个事件并进行处理，涵盖短信发送与接收、安装与卸载软件等，对用户数据安全造成危害。

“从Google官方对Android系统的更新上我们可以看出Google对于规范Android生态圈的决心，但正如本报告所揭示的，恶意应用开发者的脚步也从未止歇。因此，我们从开发者与用户的角度提出了一些安全建议与方法，希望能对保护Android用户的安全起到一定作用。”360手机卫士相关负责人说。

360手机卫士相关负责人指出，对于开发者，建议多参考官方开发者手册，并积极调整自己的应用程序使之符合官方标准，避免对权限和功能的滥用。对于用户，建议尽量养成以下良好习惯：从可信任的平台下载、安装应用程序；谨慎授予应用程序请求的权限；及时执行系统与软件版本更新；养成备份重要信息的习惯；安装安全软件，在疑似遭遇恶意软件侵害时积极反馈。

来源：法治日报法治网