行业首发|三六零天御新增恶意DEX注入（补丁工具）防护能力

关于热修复：
热修复是指在应用运行时动态更新代码或资源，以修复已知的Bug或优化功能，而无需用户重新下载和安装新版本的应用。这种技术原本是旨在快速响应并解决应用中的问题，提高开发和维护效率。但该技术逐步被黑灰产利用，进而破坏应用逻辑，达到恶意目的。

黑灰产利用热修复技术的可能方式

恶意代码注入

在root模式下，黑灰产者可以利用热修复技术，将恶意代码以补丁的形式注入到正常应用中。例如，通过修改类加载机制，向ClassLoader中插入包含恶意代码的dex文件，实现类的动态替换，从而让应用在运行过程中执行恶意操作，如窃取用户隐私信息、进行广告推送等。

绕过安全检测

利用热修复技术绕过应用的安全检测机制。黑灰产者可能会生成差分补丁，修改应用中与安全检测相关的代码逻辑，使应用无法正常检测到恶意行为。比如修改应用的权限验证逻辑，让恶意操作可以绕过权限检查，从而在用户不知情的情况下获取敏感信息。

篡改应用功能

通过热修复技术篡改应用的正常功能，以达到黑灰产的目的。例如，在一些支付类应用中，修改支付流程代码，将用户的支付款项转移到黑灰产者的账户中；或者在游戏应用中，篡改游戏的数值平衡，实现作弊功能。


基于该技术，黑灰产者开发了一键补丁工具。一键补丁工具可以在ROOT模式下针对目标应用进行补丁修复。破坏目标应用原有逻辑，实现恶意目的。该补丁工具原则上可以针对所有应用，包括已加固应用进行补丁修复。如图所示：

虽然目标应用被加固，攻击者只需拿到脱壳后的部分代码，修改逻辑后，重新组装成篡改后DEX文件。攻击者需要进一步将原始应用中的所有DEX文件删除，将篡改后的DEX文件填充到原始应用中，形成补丁APP。将补丁APP放置手机本地，使用工具进行加载。

在应用中选择攻击目标，进行打补丁操作。打补丁成功后，运行原始APP，APP运行过程中逻辑被篡改成功。

针对以上风险，三六零天御新增恶意DEX注入（补丁工具）防护能力，当攻击者加载补丁并运行原始应用后，APP运行失败并强制退出。

三六零天御恶意DEX注入（补丁工具）防护能力现已上线官网，购买高级防逆向或企业版加固套餐可使用，如有需要欢迎咨询通过官网留资或邮件发送至360jiagubao@360.cn。