您现在的位置:首页 >> IT >> 正文
360手机卫士报告揭秘S级木马“百脑虫”HOOK技术
发表时间:2016年4月28日 12:23 来源:新科技 责任编辑:编 辑:麒麟

手机应用程序获得root权限最主要的危险在于,他们可以在手机用户不知情的情况下,为更复杂、更危险的恶意程序提供入口。近日,360移动安全中心发布了《百脑虫之HOOK技术分析》报告,公布了“百脑虫”手机病毒最新发现模块中使用的高超技术,该模块的发现也使得“百脑虫”成为史上最复杂的利用Root技术的恶意样本

于2015年末爆发的“百脑虫”手机病毒不仅感染量过百万产生严重威胁,其披着色情的外衣寄生于此,使用高超技术伺机而动、擅长嫁祸,在用户毫无察觉的情况下修改短信内容恶意扣费,成为移动安全领域新威胁。

图1:“百脑虫”木马最新模块框架流程

寄生于色情,“百脑虫”感染量早已破百万

360 手机卫士安全团队发现,“百脑虫”木马母体一般寄生在色情应用或手机预装中。相关色情类应用并无实质上的内容,仅仅是图标和名字很诱人,诱导用户下载安装。而一旦安装,“百脑虫”木马就相当于找到了宿主,用户即使卸载相关应用,病毒母体也不会被卸载。用户每开启一次手机,“百脑虫”病毒就会自动启动,即使手机恢复出厂设置也依然不能被清除。

图2:360手机卫士报告公布“百脑虫”病毒注入Zygote流程

360手机卫士安全专家分析表示,“百脑虫”手机病毒为成功入侵用户手机,专挑色情类、游戏类、预装类应用下手,以插件的形式潜入,而后通过网盘、论坛或色情网站进行大量传播。以这种方式,“百脑虫”手机病毒在2015年末时感染量已超过百万。

移花接木 “百脑虫”专门“陷害”正常APP

360手机安全中心的报告同时详细分析了“百脑虫”手机病毒的行为。研究中发现,“百脑虫”病毒具备产生恶意扣费、云端服务器加载恶意代码、修改系统核心文件、使用高超的技术手段几大特点。

图3: “百脑虫”病毒在各个APK中的病毒模块

“百脑虫”手机病毒最擅长“陷害”他人,不断作恶却让APP应用为其背黑锅。360手机卫士安全团队发现,该病毒能够注入所有APP应用,在APP应用进行短信订购支付时,病毒可以判断是否包含移动应用商城模块,从而替换支付内容,导致用户支付后也没有得到应用的功能。APP厂商通常没有充值记录,这导致用户误以为是APP应用厂商的程序有问题。就这样,“百脑虫”木马偷了用户的钱财,还成功嫁祸于应用厂商。

图4:“百脑虫”病毒成移动安全新威胁

同时,该病毒通过云端服务器加载恶意代码可实现随时更新功能,可能今天执行扣费命令,明天执行盗取银行密码、支付宝密码指令,后天安装各种APK应用等;并且不会留下恶意扣费的相关证据,难以取证。通过修改系统核心文件,“百脑虫”让用户手机系统易死机,应用启动迟缓。

以高超的技术手段作为支撑,“百脑虫”病毒同时能够注入zygote修改framework。360手机卫士安全专家表示,这需要对安卓手机底层了解非常透彻才能有如此大作,“百脑虫”手机病毒可能是分工明确的团队产品。

移动安全新威胁 360手机卫士安全专家提出防范建议

防范此类技术高超、隐蔽性强的手机病毒,360手机卫士安全专家建议,安卓手机用户不要随意开放root权限;日常使用手机过程中,谨慎点击软件内的推送广告;来源不明的手机软件、安装包、文件包等不要随意点击下载;手机上网时,对于不明链接、安全性未知的二维码等信息不随意点击或扫描;使用360手机卫士等手机安全软件定期查杀手机病毒,养成良好的手机使用习惯。

此外,如发现手机已有“百脑虫”手机病毒“毒发”迹象,可下载使用360手机卫士的手机急救箱查杀。360手机急救箱独有的深度完整扫描,可以深度扫描和完美清除底层ELF病毒和APK病毒。

相关文章
关于我们 | 联系我们 | 友情链接 | 版权声明
新科技网络【京ICP备15027068号】
Copyright © 2015 Hnetn.com, All Right Reserved
版权所有 新科技网络
本站郑重声明:本站所载文章、数据仅供参考,使用前请核实,风险自负。