正在阅读:“安卓僵尸”突袭 360手机卫士独家查杀“安卓僵尸”突袭 360手机卫士独家查杀

2011-06-02 18:37 出处:PConline原创 作者:PConline 责任编辑:wujinlong

  6月1日消息,360手机云安全中心近日拦截到新一批Android木马,并将其命名为“安卓僵尸”,值得注意的是,这是近一个月以来Android平台第三次恶性木马爆发,安全形势令人堪忧。

  据了解,此木马与塞班平台的僵尸木马属同源,利用系统漏洞获取root权限,具备自动侦测安全软件运行并防查杀的功能,完全控制并让用户手机沦为僵尸手机,破坏性极强。目前,具备root杀毒功能的360手机卫士能够独家查杀“安卓僵尸”。

软件名称: 奇虎360手机卫士 For Android
软件版本: 1.95 正式版
软件大小: 1274k
软件授权: 免费
适用平台: Android
下载地址: 奇虎360手机卫士 For Android

360
图1:360手机卫士已可完全查杀“安卓僵尸”木马

  经360安全专家分析,“安卓僵尸”木马“安卓僵尸”通常伪装为正常软件(如:新华瑞德、speedup等等),并在软件包中包含一个木马子包,伪装成名为“legacy”的无后缀的文件,子包安装后在程序列表中伪装为谷歌搜索,如Google Ssearch(图2,注意不是Google search)。

360
图2:木马子包伪装成Google的服务

  在木马运行后,子包利用Android系统的溢出漏洞,非法获取root权限,将系统目录挂载为可读写状态并将自身木马子包嵌入到系统目录下,使用户无法删除,黑客可以对“僵尸手机”实行回传隐私,卸载特定软件以及安装新木马等一系列恶性操作!

  360安全专家发现,在植入用户手机后,僵尸木马会不断从服务器端获取攻击指令,等于让用户手机成为肉鸡,完全成为了黑客的傀儡!为了让用户详细了解“安卓僵尸”的运作流程,360安全专家对木马代码进行了分析。

360
图3:向服务器回传用户隐私的相关代码

  图3所示,“安卓僵尸”木马子包能够私自联网,回传用户隐私信息,如IMEI串号,手机设置,联网配置、程序列表等等,便于黑客配置特定的攻击指令。

360
图4:木马连接远端服务器,获取恶意行为指令

360
木马能够执行安装/卸载,从远端获取卸载任何程序的指令

360
图6:几个作恶的文件合力终止特定进程

  图5可见,木马子包中捆绑的gjsvro,ratc,killall三个elf文件,获取root权限后自动释放到system/bin目录下,三个文件协作将杀掉包括安全软件内的其他软件进程。

  至此,黑客已完全取得用户手机的控制权,可以为所欲为,实施包括回传用户手机中任何隐私信息,终止安全软件,安装其他木马等恶性操作,让无数手机沦为“僵尸”。

  在明确“安卓僵尸”木马的作恶手段后,360手机安全专家为广大Android用户提出了几点建议,提醒用户小心防范:

  1、通过篡改正常软件来作恶的木马,通常在权限上会有所体现,木马包的权限和正常包会有明显不同,木马会多出数个敏感高危权限,用户可以此为依据辨别;

  2、在选择应用下载网站时,应该尽量选择大型可信站点,如Google官方市场或360手机必备等经过人工检测绝丢安全的软件,并养成经常杀毒的习惯;

  3、Android平台的开放性也给木马提供了隐蔽的条件,如果木马获取高权限,用户将很难察觉木马入侵,所以最好安装360手机卫士等具有云安全智能拦截功能的手机安全软件,进行主动防御与一键查杀。

关注我们

最新资讯离线随时看 聊天吐槽赢奖品