下载一款APP，结果屏幕上疯狂弹出骚扰广告?可能是你的手机感染病毒了。随着Android应用风险激增，用户的手机安全也受到冲击。近日，腾讯手机管家联合腾讯安全联合实验室反诈骗实验室发布了《网络安全新常态下Android应用供应链安全探秘》(以下简称“报告”)，全面解析Android应用供应链面临的诸多安全挑战，并就如何防范提出具体建议。

　　Android应用供应链上下游攻击事件频发，或将影响上亿用户

　　近年来，针对供应链各个环节的攻击事件逐渐增多，给移动安全生态带来了更大的挑战。从2015年的Xcode非官方版本恶意代码污染事件到上半年的“寄生推”SDK恶意推广，攻击者对供应链上游的攻击不断加剧。而且一旦攻击成功，极有可能影响上亿用户。

　　（图：2015年至今，Android供应链安全事件频发）

　　和上游相比，供应链下游是爆发安全事件的重要来源，《报告》指出，Android应用分发渠道是安全问题频发的主要环节。Android应用分发渠道众多，应用市场、厂商预装、破解网站、ROM内置等都是用户获取应用的常见方式。而这些渠道也极易遭到不法分子恶意利用，譬如用户在第三方站点下载、破解的软件就极易被植入恶意代码等。

　　以用户常见的下载游戏破解软件为例分析，会发现这些破解软件大部分都被攻击者植入了恶意代码，严重影响用户的手机使用。由于正规软件需要花钱购买，大多数用户在网页上搜索免费的破解软件，但往往安装后没多久，就会发现手机屏幕上出现多个广告弹窗，或者手机里莫名出现多个捆绑应用。

　　由此看出，针对Android应用供应链的攻击具有三大趋势。一、影响人数众多;二、隐蔽性更强，潜伏周期更久，攻击的发现和清理比较困难;三、软件供应链暴露出的攻击面越来越多，攻击者的攻击相对应用本身或系统的漏洞攻击可能更加容易，成本更低。

　　腾讯手机管家联合多方主体，共同打造Android供应链安全生态

　　数据显示，2018年上半年Android平台新增恶意样本468.70万，同比下降47.8%。尽管Android恶意样本总体增长趋势得到遏制，但应用市场上却出现了更加“高端”的移动端恶意软件，更多的供应链薄弱环节遭恶意利用，因此多方协作共建Android供应链安全体系势在必行。

　　（图：2018年上半年新增恶意样本468.70万，同比下降47.8%）

　　对手机厂商而言，应关注Google关于Android系统的安全通告，关注自身维护机型的安全动态。应用开发商应严格遵守开发规范，防止安全威胁的产生;通过正规渠道发布应用，规范应用发布流程，防止应用签名证书泄露导致应用被篡改;软件升级更新时，要校验下载回来的升级包，保证升级包不被攻击者篡改。

　　应用市场需要规范应用审核和发布流程，禁止具有安全风险的应用进入应用市场;严厉打击恶意开发者，防止恶意开发者发布病毒软件;提升自身恶意应用检测能力或使用成熟的安全厂商提供的检测服务，避免恶意应用进入应用市场。

　　安全厂商则需要基于完整的软件供应链角度形成全景的安全视野。为应对严峻的安全挑战，腾讯推出自研AI反病毒引擎——腾讯TRP引擎，有效识别并及时阻止恶意应用的风险行为，为用户提供更高智能的实时终端安全防护。同时，腾讯安全联合实验室反诈骗实验室基于海量的样本APK数据、URL数据和手机号码黑库建立了神羊情报系统，确保厂商和广大用户免受恶意软件侵害。

　　（图：腾讯手机管家全面查杀多款感染“寄生推”恶意SDK的手机应用）

　　对手机用户来说，需使用正版和官方应用市场提供的APP应用，不要安装非正规渠道的应用或点击可疑的网址、弹窗;及时对手机设备进行安全更新。同时，还可以安装腾讯手机管家定期给手机进行体检和病毒查杀，并及时更新病毒库，实时检测手机设备的网络环境、系统漏洞、病毒木马等，保障手机安全。（作者：李冉）