AD
手机应用程序获得root权限最主要的危险在于,他们可以在手机用户不知情的情况下,为更复杂、更危险的恶意程序提供入口。近日,360移动安全中心发布了《百脑虫之HOOK技术分析》报告,公布了 百脑虫 手机病毒最新发现模块中使用的高超技术,该模块的发现也使得 百脑虫 成为史上最复杂的利用Root技术的恶意样本。
于2015年末爆发的 百脑虫 手机病毒不仅感染量过百万产生严重威胁,其披着色情的外衣寄生于此,使用高超技术伺机而动、擅长嫁祸,在用户毫无察觉的情况下修改短信内容恶意扣费,成为移动安全领域新威胁。
图1: 百脑虫 木马最新模块框架流程寄生于色情, 百脑虫 感染量早已破百万
360手机卫士安全团队发现, 百脑虫 木马母体一般寄生在色情应用或手机预装中。相关色情类应用并无实质上的内容,仅仅是图标和名字很诱人,诱导用户下载安装。而一旦安装, 百脑虫 木马就相当于找到了宿主,用户即使卸载相关应用,病毒母体也不会被卸载。用户每开启一次手机, 百脑虫 病毒就会自动启动,即使手机恢复出厂设置也依然不能被清除。
图2:360手机卫士报告公布 百脑虫 病毒注入Zygote流程360手机卫士安全专家分析表示, 百脑虫 手机病毒为成功入侵用户手机,专挑色情类、游戏类、预装类应用下手,以插件的形式潜入,而后通过网盘、论坛或色情网站进行大量传播。以这种方式, 百脑虫 手机病毒在2015年末时感染量已超过百万。
移花接木 百脑虫 专门 陷害 正常APP
360手机安全中心的报告同时详细分析了 百脑虫 手机病毒的行为。研究中发现, 百脑虫 病毒具备产生恶意扣费、云端服务器加载恶意代码、修改系统核心文件、使用高超的技术手段几大特点。
百脑虫 手机病毒最擅长 陷害 他人,不断作恶却让APP应用为其背黑锅。360手机卫士安全团队发现,该病毒能够注入所有APP应用,在APP应用进行短信订购支付时,病毒可以判断是否包含移动应用商城模块,从而替换支付内容,导致用户支付后也没有得到应用的功能。APP厂商通常没有充值记录,这导致用户误以为是APP应用厂商的程序有问题。就这样, 百脑虫 木马偷了用户的钱财,还成功嫁祸于应用厂商。
同时,该病毒通过云端服务器加载恶意代码可实现随时更新功能,可能今天执行扣费命令,明天执行盗取银行密码、支付宝密码指令,后天安装各种APK应用等;并且不会留下恶意扣费的相关证据,难以取证。通过修改系统核心文件, 百脑虫 让用户手机系统易死机,应用启动迟缓。
以高超的技术手段作为支撑, 百脑虫 病毒同时能够注入zygote修改framework。360手机卫士安全专家表示,这需要对安卓手机底层了解非常透彻才能有如此大作, 百脑虫 手机病毒可能是分工明确的团队产品。
移动安全新威胁 360手机卫士安全专家提出防范建议
防范此类技术高超、隐蔽性强的手机病毒,360手机卫士安全专家建议,安卓手机用户不要随意开放root权限;日常使用手机过程中,谨慎点击软件内的推送广告;来源不明的手机软件、安装包、文件包等不要随意点击下载;手机上网时,对于不明链接、安全性未知的二维码等信息不随意点击或扫描;使用360手机卫士等手机安全软件定期查杀手机病毒,养成良好的手机使用习惯。
此外,如发现手机已有 百脑虫 手机病毒 毒发 迹象,可下载使用360手机卫士的手机急救箱查杀。360手机急救箱独有的深度完整扫描,可以深度扫描和完美清除底层ELF病毒和APK病毒。
详细分析地址http://blogs.360.cn/360mobile/2016/04/25/analysis_of_bainaochong_hook/
360手机卫士下载地址http://shouji.360.cn/
