预装性移动设备恶意软件研究与防御指南

1. 预装恶意软件概述

预装恶意软件是指出厂时已预先安装在系统级别的移动设备上的恶意程序，具有以下特征：

• 无法被用户直接删除：只能设置为不可用状态
• 高权限运行：位于系统分区，拥有比用户应用更高的权限
• 持久性强：即使恢复出厂设置也无法清除
• 隐蔽性高：常伪装成系统必要组件

典型案例：臭名昭著的Adups恶意软件，曾被发现预装在多个品牌设备中。

2. 预装应用的类型与位置

根据在设备上的位置，预装应用可分为两类：

2.1 /system/app/ 目录

• 特点：
  • 包含用户常用但非设备运行必需的应用程序
  • 如相机、蓝牙、FM收音机、照片查看器等
  • 也是设备临时缓存存储位置
• 影响：
  • 卸载可能降低用户体验
  • 但不会导致设备无法运行

2.2 /system/priv-app/ 目录

• 特点：
  • 包含系统关键应用程序
  • 如设置功能、系统UI(包含后退/主页按钮功能)
• 影响：
  • 绝对不可卸载
  • 最新预装恶意软件常针对此目录

3. 典型案例分析

3.1 案例1：System UI中的Riskware自动安装程序

• 设备型号：THL T9 Pro
• 恶意软件：Android/PUP.Riskware.Autoins.Fota.INS
• 特点：
  • 恶意代码与系统UI整合，而非独立应用
  • 核心系统应用被感染
  • 反复安装Android/Trojan.HiddenAds广告软件
  • 可能导致系统崩溃
• 来源：可能是从Adups自动安装器中获取代码并插入系统UI

3.2 案例2：监控设置功能

• 设备型号：UTOK Q55
• 恶意软件：Android/Monitor.Pipe.Settings
• 特点：
  • 属于监听设备类别，收集并报告敏感信息
  • 硬编码在重要的设置应用中
  • 具有卸载其他应用的"自卸载"功能(具有讽刺意味)

4. 检测与防御措施

4.1 检测方法

1. 异常行为监测：

   • 设备频繁安装未知应用
   • 异常流量消耗
   • 电池消耗异常
   • 系统UI或设置应用行为异常

2. 目录检查：

   • 检查/system/app/和/system/priv-app/目录下的可疑应用
   • 比对官方ROM中的应用列表

4.2 防御措施

1. 基础防御：

   • 购买设备前研究其安全记录
   • 选择信誉良好的品牌和销售渠道
   • 保持系统和应用更新

2. 技术防御：

   • 使用ADB工具检查系统应用(需USB调试权限)

   adb shell pm list packages -s
   adb shell ls /system/app/
   adb shell ls /system/priv-app/
   

   • 使用专业安全软件扫描系统分区

4.3 移除方法(高级)

前提：设备已解锁Bootloader并获取root权限

1. 替换恶意系统应用：

   • 找到与当前Android版本匹配的干净系统应用
   • 通过ADB替换：

   adb remount
   adb push [干净应用路径] /system/priv-app/[应用目录]/
   adb shell chmod 644 /system/priv-app/[应用目录]/[应用名].apk
   adb reboot
   

2. 完全清除(风险较高)：

   • 刷入官方纯净ROM
   • 使用自定义恢复工具删除恶意应用

警告：操作不当可能导致设备无法启动，建议专业人士操作或寻求厂商支持。

5. 未来趋势与建议

1. 趋势：

   • 预装恶意软件技术日益复杂
   • 更多针对关键系统组件的攻击
   • 更隐蔽的数据收集方式

2. 建议：

   • 厂商应加强供应链安全
   • 监管部门应制定更严格的预装应用规范
   • 用户应提高安全意识，定期检查设备

6. 资源与工具

1. ADB工具：Android Debug Bridge(官方开发工具)
2. 分析工具：
   • Apktool：反编译APK
   • JADX：Java反编译器
   • Frida：动态分析工具
3. 安全社区：先知社区等安全论坛获取最新威胁情报

7. 法律与道德声明

• 本指南仅用于教育目的
• 对设备进行修改可能违反保修条款
• 操作前请备份重要数据
• 请遵守当地法律法规

通过以上措施，用户可以在一定程度上防御和应对预装恶意软件的威胁，但最根本的解决方案仍需设备厂商和监管部门的共同努力。