手機應用程式獲得root權限最主要的危險在於,他們可以在手機用戶不知情的情況下,為更複雜、更危險的惡意程序提供入口。近日,360移動安全中心發布了《百腦蟲之HOOK技術分析》報告,公布了「百腦蟲」手機病毒最新發現模塊中使用的高超技術,該模塊的發現也使得「百腦蟲」成為史上最複雜的利用Root技術的惡意樣本。
於2015年末爆發的「百腦蟲」手機病毒不僅感染量過百萬產生嚴重威脅,其披著色情的外衣寄生於此,使用高超技術伺機而動、擅長嫁禍,在用戶毫無察覺的情況下修改簡訊內容惡意扣費,成為移動安全領域新威脅。
圖1:「百腦蟲」木馬最新模塊框架流程
寄生於色情,「百腦蟲」感染量早已破百萬
360手機衛士安全團隊發現,「百腦蟲」木馬母體一般寄生在色情應用或手機預裝中。相關色情類應用並無實質上的內容,僅僅是圖標和名字很誘人,誘導用戶下載安裝。而一旦安裝,「百腦蟲」木馬就相當於找到了宿主,用戶即使卸載相關應用,病毒母體也不會被卸載。用戶每開啟一次手機,「百腦蟲」病毒就會自動啟動,即使手機恢復出廠設置也依然不能被清除。
圖2:360手機衛士報告公布「百腦蟲」病毒注入Zygote流程
360手機衛士安全專家分析表示,「百腦蟲」手機病毒為成功入侵用戶手機,專挑色情類、遊戲類、預裝類應用下手,以插件的形式潛入,而後通過網盤、論壇或色情網站進行大量傳播。以這種方式,「百腦蟲」手機病毒在2015年末時感染量已超過百萬。
移花接木 「百腦蟲」專門「陷害」正常APP
360手機安全中心的報告同時詳細分析了「百腦蟲」手機病毒的行為。研究中發現,「百腦蟲」病毒具備產生惡意扣費、雲端伺服器加載惡意代碼、修改系統核心文件、使用高超的技術手段幾大特點。
圖3: 「百腦蟲」病毒在各個APK中的病毒模塊
「百腦蟲」手機病毒最擅長「陷害」他人,不斷作惡卻讓APP應用為其背黑鍋。360手機衛士安全團隊發現,該病毒能夠注入所有APP應用,在APP應用進行簡訊訂購支付時,病毒可以判斷是否包含移動應用商城模塊,從而替換支付內容,導致用戶支付後也沒有得到應用的功能。APP廠商通常沒有充值記錄,這導致用戶誤以為是APP應用廠商的程序有問題。就這樣,「百腦蟲」木馬偷了用戶的錢財,還成功嫁禍於應用廠商。
圖4:「百腦蟲」病毒成移動安全新威脅
同時,該病毒通過雲端伺服器加載惡意代碼可實現隨時更新功能,可能今天執行扣費命令,明天執行盜取銀行密碼、支付寶密碼指令,後天安裝各種APK應用等;並且不會留下惡意扣費的相關證據,難以取證。通過修改系統核心文件,「百腦蟲」讓用戶手機系統易死機,應用啟動遲緩。
以高超的技術手段作為支撐,「百腦蟲」病毒同時能夠注入zygote修改framework。360手機衛士安全專家表示,這需要對安卓手機底層了解非常透徹才能有如此大作,「百腦蟲」手機病毒可能是分工明確的團隊產品。
移動安全新威脅 360手機衛士安全專家提出防範建議
防範此類技術高超、隱蔽性強的手機病毒,360手機衛士安全專家建議,安卓手機用戶不要隨意開放root權限;日常使用手機過程中,謹慎點擊軟體內的推送廣告;來源不明的手機軟體、安裝包、文件包等不要隨意點擊下載;手機上網時,對於不明連結、安全性未知的二維碼等信息不隨意點擊或掃描;使用360手機衛士等手機安全軟體定期查殺手機病毒,養成良好的手機使用習慣。
此外,如發現手機已有「百腦蟲」手機病毒「毒發」跡象,可下載使用360手機衛士的手機急救箱查殺。360手機急救箱獨有的深度完整掃描,可以深度掃描和完美清除底層ELF病毒和APK病毒。
詳細分析地址http://blogs.360.cn/360mobile/2016/04/25/analysis_of_bainaochong_hook/
360手機衛士下載地址http://shouji.360.cn/