殺毒軟件公司AVG最近發(fā)現(xiàn)了名為“PowerOffHijack(關(guān)機(jī)劫持)”的安卓惡意軟件,該軟件的運(yùn)作方式很特別:它會(huì)劫持關(guān)機(jī)過(guò)程。PowerOffHijack讓你的手機(jī)看上去像已經(jīng)關(guān)機(jī),然后對(duì)你的手機(jī)進(jìn)行窺探。
換言之,當(dāng)你按下關(guān)機(jī)鍵之后,你的設(shè)備并沒(méi)有真正關(guān)機(jī)。雖然你仍然能看到關(guān)機(jī)畫(huà)面,屏幕會(huì)變黑,但你的手機(jī)或者平板其實(shí)是開(kāi)著的。
當(dāng)你的安卓設(shè)備處于這種狀態(tài)時(shí),PowerOffHijack會(huì)撥打電話(huà),拍照,“在用戶(hù)不知情的情況下執(zhí)行其它任務(wù)。”
下面是這個(gè)安卓惡意軟件劫持方式:
首先,它會(huì)獲得root權(quán)限。
接著,在獲得root權(quán)限之后,這個(gè)惡意軟件會(huì)注入system_server進(jìn)程,劫持mWindowManagerFuncs對(duì)象。
再然后,當(dāng)你按下電源鍵,會(huì)出現(xiàn)一個(gè)假的對(duì)話(huà)框,如果你選擇關(guān)機(jī),它會(huì)顯示假的關(guān)機(jī)畫(huà)面,屏幕關(guān)閉,但手機(jī)處于開(kāi)機(jī)狀態(tài)。
最后,為了讓你的手機(jī)看起像是真的關(guān)機(jī)了,一些系統(tǒng)廣播服務(wù)也會(huì)被劫持。
下面是PowerOffHijack錄制通話(huà)的代碼:
下面是PowerOffHijack發(fā)送私人信息的代碼:
雖然AVG發(fā)布了大量描述PowerOffHijack劫持關(guān)機(jī)過(guò)程的報(bào)告,但這個(gè)軟件本身的相關(guān)信息很少。AVG沒(méi)有說(shuō)明他們是怎樣發(fā)現(xiàn)這個(gè)惡意軟件的,也沒(méi)有解釋這個(gè)軟件是怎樣進(jìn)入安卓設(shè)備的。這個(gè)軟件需要root權(quán)限說(shuō)明它你不會(huì)在瀏覽網(wǎng)頁(yè)的時(shí)候進(jìn)入你的手機(jī)。
大部分安卓惡意軟件是在用戶(hù)從第三方應(yīng)用商店安裝了可疑應(yīng)用時(shí)進(jìn)入安卓設(shè)備的。
AVG發(fā)言人告訴記者,“我們發(fā)現(xiàn)這個(gè)惡意軟件的針對(duì)目標(biāo)是Android 5.0以下的系統(tǒng),它需要root權(quán)限,到目前為止我們發(fā)現(xiàn)有大概一萬(wàn)部設(shè)備受到感染,大部分發(fā)生在中國(guó),因?yàn)樗紫瘸霈F(xiàn)在中國(guó)。我們看到它正在中國(guó)的應(yīng)用市場(chǎng)傳播開(kāi)來(lái)。”