Android為應用提供的各種應用進程常駐的正常接口，正在成為惡意應用開發者新的“保護傘”。惡意開發者通過惡意利用Android進程?；钪圃炝舜罅苛髅?，不僅給用戶帶來資費受損、隱私泄露的嚴重后果，更導致手機設備電池快速消耗以及手機卡頓等現象，破壞了用戶使用安卓設備的用戶體驗。

近日，騰訊安全反詐騙實驗室發布《Android進程保護研究分析報告》（以下簡稱《報告》），指出在安卓系統愈難獲取Root的背景下，無需Root的進程保護成了黑產攻擊新的目標。

惡意利用進程保活三大類應用：流氓廣告、惡意扣費、風險軟件

《報告》顯示，惡意利用進程?；顟谜急茸罡邽榱髅V告，達到總數的66%，其次是惡意扣費和風險軟件分別占比18%和16%。從進程?；畈《绢愋蛠砜?，使用系統事件觸發保護的方式中Movers、DisguisedAd、Bombard病毒家族占比分別達到30%，27%和16%；二進制文件守護的方式中叉叉SDK、Mobo病毒家族占比12%和1%；而通過jobSchedule接口和雙進程保護方式中RottenSys、Romdown病毒家族占比達到11%和3%。

（主要惡意利用進程?；畈《菊急龋?/span>

以Magiclamp病毒為例，該病毒通常將自身偽裝成一些破解游戲和工具類軟件通過主流的應用市場和部分軟件下載站進行傳播，用戶一旦中招，病毒將通過云端下發子包保活，強迫用戶安裝應用，并通過云端下發配置，通過配置參數發送服務器，下載?；钭影瑘绦袕V告騷擾等多種惡意操作。

（Magiclamp病毒推送騷擾廣告）

《報告》指出，由于市場占有率較高的系統版本（5.0以上），攻擊者比較難獲取Root權限，黑產比較傾向使用進程相互保護、開源框架、新的系統開放API接口等方式實現病毒進程保護。對于低版本（5.0以下）則更多地使用Root方案植入文件到系統目錄守護病毒進程的方式。

騰訊TRP-AI反病毒引擎精準攔截，實時防護用戶終端安全

進程常駐設備已成為很多黑產應用利用的途徑，《報告》建議企業加強自身的信息安全管理，如開放接口、系統漏洞、應對白名單審核等方面的安全檢測，同時對使用系統API進行監控、分析，捕捉非法行為。

針對當前安卓市場環境下層出不窮的惡意應用，騰訊安全推出自研TRP-AI反病毒引擎引擎，通過對系統層的敏感行為進行監控，配合能力成熟的AI技術對應用行為的深度學習，能有效識別帶有惡意風險行為軟件，并實時阻斷惡意行為，為用戶提供更高智能的實時終端安全防護，目前該引擎技術部分成果已經在騰訊手機管家云引擎中得到應用，可有效保護用戶的上網安全。

同時，騰訊安全反詐騙實驗室基于海量的樣本APK數據、URL數據和手機號碼黑庫建立了神羊情報分析平臺，可以根據惡意軟件的惡意行為、傳播URL和樣本信息進行聚類分析，溯源追蹤惡意軟件背后的開發者，從黑色產業鏈源頭上進行精確打擊。

對于Android用戶而言，養成良好的手機使用習慣，防范于未然仍然是行之有效的防御措施。《報告》提醒廣大用戶，不要隨意在網頁輸入個人敏感信息，不要點擊來歷不明的鏈接下載軟件，選擇正版APP產品和服務，并通過安全正規的渠道下載安裝；當手機在使用過程中發生異常發熱或運行卡頓時，及時使用騰訊手機管家等安全軟件進行掃描檢測，可有效阻斷大部分的惡意攻擊，保護個人設備和財產安全。