ATT&CK-CN V1.0 Last Update: 2019-03 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1402

术语表: /attack/glossary

App 在设备启动时自启动

Android 应用程序可以监听 BOOT_COMPLETED 广播,确保每次设备启动时应用程序的功能都会被激活,而无需等待设备用户手动启动应用程序。

Zhou 和 Jiang 分析了 49 个恶意软件家族的 1260 个 Android 恶意软件样本,确定了监听 BOOT_COMPLETED 的 29 个恶意软件家族和 83.3%的样本。

缓解

缓解 描述
应用程序审查 企业可以在准许在设备上使用应用程序之前审查应用程序,并仔细审查声明包含 BOOT_COMPLETED 的 intent-filter 的 BroadcastReceiver 的应用程序。不幸的是,存在大量具有此行为的应用程序,该措施可能并不实用。