隨著移動端Android系統安全軟件對APP應用層查殺能力趨于成熟以及Google對Android安全性的重視,病毒與反病毒的主戰場已逐漸從APP層擴展到Linux系統層。相對于APP應用層病毒,系統底層病毒更容易隱藏自己,也更容易對抗安全軟件,其危害性更大,更不容易查殺。而且病毒作者也開始把PC端的病毒自我保護手段移植到移動端上,在手機端大量使用了免殺、加密、隱藏、反虛擬機、感染等傳統PC端病毒的自我保護技術。
但是病毒始終是要暴露出行為,只要暴露行為就有辦法找到查殺方法。并且病毒傳播總也需要途徑,因此,360安全中心給出以下幾條建議:不要下載安裝不受信任的軟件;不要隨便找個刷機網站就開始刷機;中了新型的病毒及時向360安全中心反饋,以免遭受更大的損失。
2015年,360互聯網安全中心平均每天截獲新安卓系統底層病毒上萬個,全年感染用戶量超過400萬人次。這一年,360互聯網安全中心發現了多種傳播迅速并且對手機危害極大的系統底層病毒,極具代表性的有“蜥蜴之尾”、“百腦蟲”、“萬藍”以及新版“權限殺手”等。此類病毒主要通過內置ROM、惡意應用進行瘋狂傳播。經過分析后,360互聯網安全中心盤點了2015年度最為流行的10大手機Android系統底層病毒。
圖1 2015年度10大手機底層病毒感染量總覽圖
TOP 1
——“百腦蟲”木馬
感染用戶:119.5萬
危險指數:★★★★★
威脅:推廣APP、訂閱扣費服務、關閉安全軟件、難卸載、反虛擬機
詳細分析地址:http://blogs.360.cn/360mobile/2016/01/06/analysis_of_bainaochong/
病毒簡介:
百腦蟲病毒于2015年下半年開始爆發,期間,360移動安全中心不斷收到用戶反饋:手機出現莫名下載安裝其他應用以及自動訂閱扣費業務等問題。
百腦蟲病毒主要在一些第三方電子市場或某些色情類網站進行瘋狂傳播。該病毒方便被不同APK打包調用,再加上嵌入的主要是一些熱門應用,因此傳播迅速,感染量已超百萬。當病毒感染手機后,會根據不同的手機系統進行提權并阻止其他軟件獲取root權限,病毒還會檢測運行環境以保護自己。受感染的手機會出現自動安裝APP、自動訂閱扣費服務等癥狀,手機還原出廠設置也無法解決問題。
圖2 嵌入百腦蟲病毒的色情類應用
圖3 嵌入百腦蟲病毒的非官方應用
評級理由:涉及“百腦蟲”木馬的應用種類眾多,包含色情類應用、高人氣應用等。一旦用戶抵擋不住非法網站發布的色情類應用的誘惑或安全意識薄弱通過非官網下載高人氣應用都可能被中招。“百腦蟲”木馬的扣費邏輯實現模塊在云端,通過云端策略不定時下發到被感染機器,達到實時更新扣費模塊、隱藏惡意罪行、長期可持續扣費的目的。
TOP 2
——“蜥蜴之尾”木馬
感染用戶:95.6萬
危險指數:★★★★★
威脅:感染系統庫文件、替換系統文件、注入系統進程、竊取用戶信息、監聽通話與短信、訂閱扣費服務
詳細分析地址:http://blogs.360.cn/360mobile/2015/11/16/analysis_of_fakedebuggerd_d/
病毒簡介:
“蜥蜴之尾”木馬是“長老木馬”三代的進化版。主要惡意行為由三代的推廣APP演變為監聽電話短信、訂閱SP扣費服務等。據有些用戶反饋,單月扣費金額達數百元。
下圖為360互聯網安全中心病毒分析人員與受感染用戶聊天的部分記錄。
圖4 與感染用戶的部分聊天記錄
下圖為感染用戶向用戶反饋的未經用戶許可訂閱的收費服務清單。
圖5 實際感染用戶反饋的收費服務清單截圖
評級理由:“蜥蜴之尾”木馬當之無愧是可以衡量2015年度手機底層病毒技術發展水平的最為典型的木馬。該木馬的核心技術突破及威脅體現在以下方面。
技術方面:
1. 對抗安全軟件:在移動安全領域首次采用了靜態感染技術,感染系統運行依賴的庫文件,加大了查殺難度。此外,還采用相似文件路徑欺騙法、 樣本MD5自變化等傳統PC端的病毒技術。
2. 自我保護:采用AES對稱加密算法、自定義算法加密了所有相關插件、配置文件、數據庫等。雖然AES加密算法已被很多病毒木馬所采用,并不稀奇,但是隱藏解密所必須的public key的方法非常獨特。不但每個插件、配置文件、數據庫解密需要的publickey都不同,而且public key本身又以加密的形式寫入到其他正常文件的尾部或加密數據文件的指定位置,加大了分析人員逆向分析的難度。
威脅方面:
1. 后臺監聽:云端即木馬作者可以不定時下發“后臺監聽”指令來建立遠程通訊,實現遠程監聽用戶的隱私,給用戶隱私帶來極大的威脅。
2. 惡意扣費:云端即木馬作者不定時下發“訂閱”指令,指令參數包含商品名稱、收費金額、SP計費點及訂閱網點。木馬收到指令后根據參數內容到指定SP網點“自動辦理”訂閱服務并屏蔽訂閱回饋短信。因木馬惡意扣費非常隱蔽且一般一次性扣費的金額較少,很多受害用戶過了一段時間才察覺自己手機可能是中招。
3. 隱私采集:云端可以下發“短信采集”、“基本信息采集”等指令獲取用戶敏感信息以進行再次獲利。如果犯罪分子成功獲取到這些數據對于用戶來說意味著非常可怕的后果。比如短信包含很多與熟人相關數據,非法分子可以以“借錢”等為由向用戶的熟人發送短信,危及到受感染用戶周圍的親朋好友,其危害程度不言而喻。
TOP 3
——“FakeDebuggerd”木馬
感染用戶:77.8萬
危險指數:★★★★☆
威脅:偽裝系統進程,靜默推廣其他應用,造成手機運行變慢、流量損失、手機耗電快,甚至可能傳播其他木馬病毒。
病毒簡介:
從幾年前發現長老木馬,一直到現在,”FakeDebuggerd”家族都非常活躍。雖然技術上沒什么亮點,但是這種病毒實現方式簡便,成功率高,因此被很多不法分子利用。
Android系統把debuggerd做為守護進程,進程終止后,系統會立刻重新啟動。木馬利用這一點,替換debuggerd文件來達到自我保護的目的。即使查殺了木馬APK,”FakeDebuggerd”也可以從/system/bin/debuggerd文件尾部將所有被刪除的文件重新釋放。有了“FakeDebuggerd”的保護,其他木馬就可以明目張膽的扣費、推廣APP或者竊取用戶隱私了。
FakeDebuggerd Android rootkit詳細分析地址:http://blogs.360.cn/360mobile/2014/03/06/fakedebuggerd-android-rootkit/
長老三詳細分析地址:http://blogs.360.cn/360mobile/2014/11/24/analysis_of_fakedebuggerd_c_and_related_trojans/
評級理由:
病毒自身的扣費、推廣、彈廣告等惡行就已經夠讓人深惡痛絕了,在“FakeDebuggerd”的保護下,各種木馬更加的肆無忌憚。雖然“FakeDebuggerd”自身替換debuggerd的惡行不會給用戶帶來明顯的困擾,但是它為其他木馬病毒提供了生存的溫床,危害程度不容小覷。
TOP 4
——“幽靈推”相關底層模塊
感染用戶:58.3萬
危險指數:★★★★
威脅:替換系統文件、推廣APP、訂閱扣費服務
病毒簡介:
該木馬偽裝常用應用,經由googleplay等應用市場傳播(已下架),通過靜默提權方式,以root權限向系統植入底層病毒。
該模塊屬于“幽靈推”底層模塊,在病毒上層應用釋放提權模塊并且提權成功后,該模塊開始部署惡意插件。木馬通過執行chattr命令鎖定惡意文件,阻止被刪除,達到自我保護的目的,通過修改install-recovery.sh系統文件,達到開機啟動的目的。
評級理由:
正如他的名稱一樣,這個病毒會像幽靈一樣威脅著用戶的利益,難以擺脫。木馬通過防止刪除,替換系統文件,開機自啟的方式來保護自己。
TOP 5
——“權限殺手”木馬
感染用戶:50.1萬
危險指數:★★★★
威脅:ROM內置、對抗安全軟件、監聽短信、彈廣告、推廣、刷流量
詳細分析地址:http://blogs.360.cn/360mobile/2015/06/29/analysis_of_pkiller/
病毒簡介:
自2013年以來,ROM級內嵌手機病毒“權限殺手”通過不斷更新變種,已經成功植入接近300個ROM在一些刷機市場大肆傳播,導致國內多達50萬用戶遭受影響。
該病毒試圖通過刪除其他應用獲取系統ROOT所使用的關鍵文件來對抗安全軟件,在自以為安全的情況下,開始實施彈廣告、監聽短信、推廣軟件等惡行。病毒服務器會根據手機信息分發指令,為了提高存活率,病毒甚至將APK要操作的底層文件的文件名放入云端,切斷了APK與底層文件的直接關聯,從而增加查殺的難度。
評級理由:刪除手機授權管理文件,阻止其他應用獲取root權限,企圖實現自己在系統權限中的絕對霸主地位,危險程度極高。
TOP 6
——“Andam”木馬
感染用戶:25.7萬
危險指數:★★★☆
威脅:自我保護、執行云端下發指令、推廣APP
病毒簡介:
該木馬技術含量較低,其主要目的為運行后訪問云端獲取應用下載列表,進行惡意推廣。同時監控自身相關文件變化,防止自身被安全軟件清除。
評級理由:病毒文件被刪除具有回寫功能,后臺一直聯網檢測下載任務,靜默安裝APP應用。雖然該木馬技術含量很低,但是消耗移動流量、感染量大、潛在危害大。
TOP 7
——“糖果”木馬
感染用戶:23.8萬
危險指數:★★★☆
威脅:偽裝系統文件、上傳用戶隱私、靜默推廣APP
病毒簡介:該木馬以插件形式內嵌到“聚折扣”、“手機散熱大師”、“KMPlayer”等二次打包的應用中,迷惑不明真相的用戶下載安裝。用戶一旦打開這些應用,木馬就會被釋放到系統/system/bin目錄,偽裝成zprop、boot_logo_updater等,并在用戶/data等目錄植入自己的數據文件。該木馬具有下載、啟用應用、刪除應用、終止進程的功能,在用戶不知情的情況下,進行APP推廣獲利。
評級理由:偽裝系統文件實現開機啟動,上傳用戶隱私信息造成信息泄露,支持多種指令,可以靜默卸載、安裝、啟動、禁用各種應用,潛在危害大。
TOP 8
——“萬藍”木馬
感染用戶:10萬
危險指數:★★★
威脅:ROM內置、執行云端指令、推廣APP
詳細分析地址:http://blogs.360.cn/blog/analysis_of_wland/
病毒簡介:
2015年5月中旬,360安全中心收到用戶反饋,手機經常自動安裝新的游戲應用。經分析排查發現,一款名為“萬藍”的ROM級手機木馬正向用戶伸出魔爪,通過靜默推廣以牟取利益。
“萬藍”擁有一套完整的體系結構,包括指令的下發,系統的檢測以及版本的更新。通過嚴謹的運行邏輯來保證自身的隱秘性和穩定性,通過多達40個命令類型來保證自身功能的完整,通過從云端下載腳本推廣的應用軟件多達數十個。該木馬主要通過植入為夏新、聯想、小采等手機開發的三方ROM,在刷機網站進行傳播。
圖6 某知名刷機網站上發現的“萬藍”病毒
評級理由:我們經過大量測試分析發現很多刷機網站對于ROM收錄流程的安全驗證并不嚴謹,導致收錄了很多包含惡意代碼的ROM文件。到目前為止,惡意樣本主要是植入為夏新、聯想、小采等手機開發的三方ROM進行傳播。即使安全意識較高的用戶看到知名刷機網站的安全驗證通過提示,很容易會降低警覺性并中招,真是防不勝防。“發燒友”們刷機時還真不能盲目相信官方給出的安全驗證通過提示。
TOP 9
——“FakeSysCmd”木馬
感染用戶:7.7萬
危險指數:★★☆
威脅:偽裝系統文件、盜竊用戶隱私、惡意推廣、對抗安全軟件
病毒簡介:該木馬家族偽裝替換pm、adb_server、sz等系統命令。比如pm,是系統的軟件包管理程序,木馬替換該程序后,可以監控并自行安裝卸載APP,甚至禁用安全軟件。
我們還發現了病毒的一些保護措施,比如在使用pm的時候,替換成mp,企圖掩蓋其惡意行為,干擾分析。此手法著實低端,不過由此也看到了病毒的一些發展趨勢——將自己隱藏到系統命令中,甚至替換系統命令,由病毒自己啟動系統命令。
評級理由:此類病毒目前還是襁褓中的惡靈,功能簡單,容易實現,還未發揮其真正的實力,一旦不懷好意的人掌握了更高級的技術,可能會給手機用戶造成更大的損害。并且其替換的是系統命令,影響嚴重,感染量大,可能成為病毒發展的一大方向。
TOP 10
——“asshole”木馬
感染用戶:3.8萬
危險指數:★★
威脅:靜默提權、盜竊用戶隱私、流氓推廣。
病毒簡介:木馬作者惡意利用開源root框架,二次打包編譯后以插件形式將病毒嵌入到常用軟件或色情軟件中,借助軟件市場或色情網站傳播。據360安全中心監控到的數據,該木馬經常偽裝成“搶票神器”、“流量統計”、“午夜看看”等。用戶一旦使用這些軟件,這個木馬程序就會植入系統目錄并在用戶不知情的情況下,拿到手機root權限,從網絡下載其他木馬或惡意軟件,危害極大。
圖7 “asshole”嵌入的正常應用
圖8 “asshole”嵌入的色情應用
評級理由:可以理解作者渴望被關注的心情,不然也不會起這么個名字。不僅僅是病毒流氓,作者自身也是博學多才,這么生僻的詞匯都能想到。利用正常的開源框架來實現惡意功能是挺有新意的,在引起關注這一點上,作者算是成功了。
京公網安備 11010502049343號