2015上半年新发手机ROM中超200个内置“权限杀手”木马
2013年,ROM级手机木马“权限杀手”曝光,该木马通过删除其他应用获取系统ROOT所使用的关键文件,阻止其他应用删除。360云数据分析显示,该木马在近一年多的时间持续活跃,并且在2015年上半年突然爆发,感染超过30万人。
“权限杀手”木马内嵌在手机ROM中通过刷机网站快速传播,此外还包括部分水货手机用户,到目前为止,国内受影响用户达50万之多,其中超过60%是近半年内新受到感染的用户。此外,国内刷机市场累计有接近300个ROM预置了该木马,数量还在进一步增加,其中超过80%的ROM是今年上半年发布的。
图一:预置“权限杀手”手机木马的ROM分布趋势图
据统计,这些ROM主要影响的手机品牌包括三星、联想、华为、小米、HTC等,几乎涵盖了所有市场主流的Android手机品牌。除了主要感染国内用户外,全球范围的手机用户也有感染的迹象,对国外用户的感染主要集中在三星品牌的手机中,国际用户感染最严重的出现在印尼和土耳其地区。国内用户感染最严重的地区出现在两广地区,该地区也是国内水货手机和刷机用户最集中的地区。
“权限杀手”会删除手机的授权管理文件,阻止其他应用获取ROOT授权,保证自身不被安全应用删除,同时进行下载、推广、刷流量、发送短信、屏蔽短信、添加书签等恶意行为。该木马通过三个模块相互配合作恶,PageViewer主要功能是接收云端命令并发布命令给Searchcone,同时还会盗取用户的一些固件信息;Searchcone主要功能是接受命令并且执行,并删除系统授权管理文件;PageViewer还会下载安装主要盈利模块(Markserv),Markserv通过刷流量、推广软件等广告行为盈利。
图二:“权限杀手”手机木马作恶流程
不可忽视的一点是,最新版本的“权限杀手”,已经将管理模块和执行模块之间的关联完全切断,将一个恶意程序拆分成两部分,管理模块通过云端获取到执行模块的位置,而大大降低了安全软件对执行模块的查杀率。管理模块在应用层开发,这样开发成本低,更新换代快,也大大提高了该木马的生存机会。
更为严重的是,“权限杀手”主要通过主流的刷机网站进行传播,据调查结果看到,刷机网站对ROM安全问题的把控能力不容乐观,此次内嵌该木马的上百个ROM文件几乎都同时打上了安全认证的标签,使得用户放松了警惕,这也是造成该木马流行传播的主要原因。
图三:360手机急救箱查杀“权限杀手”木马及其变种
2014年8月360手机安全中心数据显示,平均每十个刷机包中就有一个刷机包含有恶意程序,最多一个刷机包包含高达8款恶意程序,今年以来,与“权限杀手”类似的ROM级手机木马仍然呈高速增长趋势。360手机安全专家建议一定要从官方渠道购买手机并尽量从官方指定的渠道获取手机ROM。目前,360手机急救箱全面支持“权限杀手”木马所有变种的查杀与修复,如果手机用户经常遇到无故损失流量、扣费等问题,一定要尽快查杀手机恶意程序。
详细分析地址:http://blogs.360.cn/360mobile/2015/06/29/analysis_of_pkiller/
360手机急救箱下载地址:http://www.360.cn/jijiuxiang/
声明:东方联盟网站刊登/转载此文出于传递更多信息之目的,并不意味着赞同其观点或论证其描述。
- 01-092023年的四大网络风险以及如何应对
- 01-09操作系统/虚拟化安全知识域:攻击者模型
- 01-09操作系统/虚拟化安全知识域:操作系统及其设计在安全中的作用
- 01-092022年全球勒索赎金TOP 10
- 03-06俄乌冲突快讯:乌克兰网站被攻击数量超十倍
- 02-23开放式银行创新:开发人员与网络犯罪分子之间的竞赛
- 02-23数据泄露后信息会怎样?
- 02-23四个首创 冬奥网络安全“黑科技”面面观
- 01-11全球最受赞誉公司揭晓:苹果连续九年第一
- 12-09罗伯特·莫里斯:让黑客真正变黑
- 12-09谁闯入了中国网络?揭秘美国绝密黑客小组TA
- 12-09警示:iOS6 惊现“闪退”BUG
- 11-18LG新能源宣布与Bear Robotics达成合作,成为
- 11-18机构:三季度全球个人智能音频设备市场强势
- 11-18闲鱼:注册用户过6亿 AI技术已应用于闲置交
- 11-18美柚、宝宝树回应“涉黄短信骚扰”:未发现
- 11-01京东七鲜与前置仓完成融合