概述

Google在Android2.2 (API level 8)新增了名为DevicePolicyManager的接口，可以帮助用户实现对手机安全管理和远程操作，如锁定屏幕、恢复出厂设置、清空手机上所有数据、远程修改屏幕密码等操作。

DevicePolicyManager开发的初衷是为了帮助用户解决手机丢失的数据泄露问题，基于该功能的手机找回功能已经成为各大安卓手机厂商的标配，很悲催的是，一个正规的功能在黑产的手中马上就变成了一种”商业模式”，根据腾讯安全反诈骗实验室大数据显示：

包含设备管理器(DevicePolicyManager)权限样本中，病毒比例竟然高达63%。

恶意利用设备管理器权限地域分布趋势主要分布在：中国，印尼，马来西亚，印度，菲律宾，美国，巴西。

滥用设备管理器权限病毒类型主要以：银行支付类木马、勒索类病毒、社工诈骗类病毒、隐私窃取类病毒、虚假游戏外挂类病毒等。

恶意利用设备管理器的病毒家族新增样本主要有三个类型：支付类病毒、置顶勒索病毒和资费消耗病毒为主，占比分别为：35.62%、32.06%和29.38%。

2017年度恶意利用设备管理器病毒类型分布占比：流氓行为病毒和隐私窃取病毒为主，占比分别为：39.83%和25.30%

流氓行为病毒类型中占比为主的病毒种类为：置顶勒索病毒占比36.92%

隐私窃取病毒类型中占比为主的病毒种类为：支付类病毒占比24.62

1000-1999元价位的手机用户最容易遭受设备管理器类病毒攻击,其中毒率高达48%。

恶意利用设备管理器权限技术特点

恶意利用范围包含漏洞木马、植入“拦截码”模块、植入挖矿模块、置顶勒索模块、结合社工诈骗仿冒公检法等手法衍生出复合攻击型变种病毒

含有设备管理器权限安全样本和病毒样本比例分布

含有设备管理器权限样本中，病毒比例高达63%

病毒类型主要有: 银行/支付类木马、置顶勒索类病毒、社工诈骗类病毒、隐私窃取类病毒、游戏外挂类病毒等

恶意利用设备管理器权限地域分布趋势

地域主要分布在：中国，印尼，马来西亚，印度，菲律宾，美国，巴西。

恶意利用设备管理器病毒新增样本趋势

病毒类型以：支付类病毒、置顶勒索病毒和资费消耗病毒为主，占比分别为：35.62%、32.06%和29.38%

2017年年度恶意利用设备管理器病毒类型分布占比

流氓行为病毒类型中占比最高的病毒种类为：置顶勒索病毒，占比36.92%

隐私窃取病毒类型中占比最高的病毒种类为：支付类病毒，占比24.62%

恶意利用设备管理器病毒家族TOP 50榜单

恶意利用病毒家族主要是：支付类病毒、置顶勒索病毒和资费消耗病毒为主

Android系统设备管理器变化趋势

设备管理器权限病毒机型中毒占比

TOP机型中1000-1999元区间手机用户容易遭受设备管理器权限病毒攻击，占比：48%

设备管理器权限被植入恶意代码危害衍生趋势

用户点击取消激活的时候跳转到其他界面阻止取消激活设备管理器

流氓申请激活设备管理器权限，连续频繁弹出窗口，直至用户点击激活

当用户取消设备管理器时,会马上锁定受感染设备屏幕，致使用户无法正常使用设备。

植入挖矿模块，运行后执行挖矿进程并一直持续下去，直到设备电量耗尽为止，当用户取消设备管理器时，关闭设备屏幕5-10秒，致使用户无法正常使用设备

植入拦截码病毒模块，诱导用户激活设备管理器通过隐藏后台潜伏在用户手机，拦截用户资金短信，窃取通讯录，通话记录等信息

植入置顶勒索病毒模块，当用户取消设备管理器时自动激活置顶勒索病毒模块，强制将自身界面置于设备屏幕上方，致使用户无法正常使用设备，并以支付解锁对用户进行勒索。

仿冒公检法植入置顶勒索病毒模块，当用户取消设备管理器时强制将自身界面置于设备屏幕上方，致使用户无法正常使用设备，并且弹窗提示用户，取消设备管理器，将重置手机数据。

诱导激活设备管理器阻止正常卸载，具备禁用USB功能，用户无法通过adb调试卸载。

DisallowUseUsb函数关闭USB的ADB调试和文件传输功能，禁用sub接口 

设备管理器清理方案：

无ROOT权限清除方案：

* 使用adb命令行 “am force-stop  包名”可以强制关闭应用

* 使用手机管家查杀后即可查杀卸载病毒

安全建议

(1) 谨慎下载安装各类破解以及盗版应用，如破解的游戏等

(2) 建议从官方网站或正规应用市场下载安装应用，可以最大限度的保证下载应用的安全性 

(3) 安装腾讯手机管家等安全软件对手机进行安全检测，开启病毒库的自动更新服务(务必开启云查杀功能)，第一时间拦截存在安全风险的应用安装

*本文作者：腾讯手机管家，转载请注明来自FreeBuf.COM