360手机安全中心最近研究发现,有一种潜伏在手机预装ROM中长达三年的“长老级”手机木马,从2011年至今已衍生出十几个变种,最新变种不但会窃取用户手机号、IMEI及地理位置等隐私等信息,同时还强制手机小组件来推广广告,还可以篡改手机浏览器主页、偷偷安装其他未知手机应用。该“长老”木马甚至还可根据窃取的手机号单独控制某一款手机。目前,360已紧急发布专杀工具,可彻底查杀该木马。
图:360手机卫士长老木马专杀工具
3月6日,360手机安全工程师申迪针对该木马发布研究报告。虽然与此前“不死木马”同为系统预置木马,但长老木马更加狡猾和隐蔽:木马会替换Android系统正常进程debuggerd来实现自启动,用户不会在启动程序中看到它,行为非常隐蔽。木马运行后会立即释放多个apk/jar/elf等多个木马“小弟”恶意程序来作恶。
“即使将被释放出来的apk/jar/elf木马文件全部删除,长老木马仍会立即再次释放一次所有木马”,申迪介绍,再次释放这些木马“小弟”后,木马会将创建时间篡改为手机系统相同的创建时间,以掩人耳目。
长老木马有着极强远程控制手段。不但支持网络和短信两种远控模式,并且带有十几个可配置参数,甚至可对某台手机单独控制,将手机彻底沦为肉鸡。为了更好的控制这些配置参数,木马还会启动一项服务专门监控系统时间,如果重启手机后Wi-Fi开启,将立即更新配置文件,如果没有Wi-Fi或者超过一天没有重启,会在晚上22点到零时的整点,尝试通过上网流量的方式进行更新。更新的同时,还会将隐私信息上传至指定的服务器。
手机一旦中招,手机桌面的小组件就就会在黑客云端控制下,在指定时间弹广告。同时手机号、IMEI,用户所在位置等信息被窃取,手机浏览器的主页还会被恶意篡改。甚至后台还可被偷偷安装其他推广应用或者恶意软件,连短信也可以被拦截。
从2011年末至今,安卓长老木马至少出现了十几个变种,感染方式也在不断变化,出现在中兴、三星、HTC等多款手机的第三方ROM系统中。申迪指出,这是360手机安全中心发现的又一个在手机系统启动阶段重新释放衍生APK程序的系统预置木马。
不过与不死木马不同之处在于,该木马没有修改启动脚本,而是选择直接替换系统进程达到自启动的目的,木马还包含强大的云端控制机制,有很强的扩展能力,被植入此木马的手机存在不可预估的高危风险。“同时我们也注意到rom中木马逐渐增多的趋势,我们将会继续关注此类顽固木马并提供相应的解决方案。”申迪表示。
目前,360手机安全中心紧急发布了安卓长老木马专杀工具,可将其彻底查杀。360手机安全专家建议,要从正规渠道购买手机,同时在刷第三方ROM时更要第一时间安装360手机卫士,彻底查杀木马病毒。
