360手機安全中心最近研究發現,有一種潛伏在手機預裝ROM中長達三年的“長老級”手機木馬,從2011年至今已衍生出十幾個變種,最新變種不但會竊取用戶手機號、IMEI及地理位置等隱私等信息,同時還強制手機小組件來推廣廣告,還可以篡改手機瀏覽器主頁、偷偷安裝其他未知手機應用。該“長老”木馬甚至還可根據竊取的手機號單獨控制某一款手機。目前,360已緊急發佈專殺工具,可徹底查殺該木馬。
3月6日,360手機安全工程師申迪針對該木馬發佈研究報告。雖然與此前“不死木馬”同為系統預置木馬,但長老木馬更加狡猾和隱蔽:木馬會替換Android系統正常進程debuggerd來實現自啟動,用戶不會在啟動程序中看到它,行為非常隱蔽。木馬運行後會立即釋放多個apk/jar/elf等多個木馬“小弟”惡意程序來作惡。
“即使將被釋放出來的apk/jar/elf木馬文件全部刪除,長老木馬仍會立即再次釋放一次所有木馬”,申迪介紹,再次釋放這些木馬“小弟”後,木馬會將創建時間篡改為手機系統相同的創建時間,以掩人耳目。
長老木馬有著極強遠程控制手段。不但支持網絡和短信兩種遠控模式,並且帶有十幾個可配置參數,甚至可對某臺手機單獨控制,將手機徹底淪為肉雞。為瞭更好的控制這些配置參數,木馬還會啟動一項服務專門監控系統時間,如果重啟手機後Wi-Fi開啟,將立即更新配置文件,如果沒有Wi-Fi或者超過一天沒有重啟,會在晚上22點到零時的整點,嘗試通過上網流量的方式進行更新。更新的同時,還會將隱私信息上傳至指定的服務器。
手機一旦中招,手機桌面的小組件就就會在黑客雲端控制下,在指定時間彈廣告。同時手機號、IMEI,用戶所在位置等信息被竊取,手機瀏覽器的主頁還會被惡意篡改。甚至後臺還可被偷偷安裝其他推廣應用或者惡意軟件,連短信也可以被攔截。
從2011年末至今,安卓長老木馬至少出現瞭十幾個變種,感染方式也在不斷變化,出現在中興、三星、HTC等多款手機的第三方ROM系統中。申迪指出,這是360手機安全中心發現的又一個在手機系統啟動階段重新釋放衍生APK程序的系統預置木馬。
不過與不死木馬不同之處在於,該木馬沒有修改啟動腳本,而是選擇直接替換系統進程達到自啟動的目的,木馬還包含強大的雲端控制機制,有很強的擴展能力,被植入此木馬的手機存在不可預估的高危風險。“同時我們也註意到rom中木馬逐漸增多的趨勢,我們將會繼續關註此類頑固木馬並提供相應的解決方案。”申迪表示。
目前,360手機安全中心緊急發佈瞭安卓長老木馬專殺工具,可將其徹底查殺。360手機安全專傢建議,要從正規渠道購買手機,同時在刷第三方ROM時更要第一時間安裝360手機衛士,徹底查殺木馬病毒。
Orignal From: Android長老木馬潛伏三年首次被發現
留言列表
