随着360手机卫士等手机安全软件的普及,一些手机木马也正在不断进化、升级,企图通过攻防逃过被安全软件无情查杀的命运。360手机安全中心日前发布技术研究报告称,360手机卫士独家截获安卓平台上首个采用进程保护手段的恶意木马——“恶魔守护者”,该木马一旦发现主木马程序被删除或查杀后,会在短短30秒时间内将其原地满血“复活”。
与此同时,“恶魔守护者”木马利用安卓系统多个漏洞获取ROOT(管理员)权限,私自下载安装多个软件,拖慢系统运行,占用系统空间,大量消耗网络流量。对此,360手机安全工程师张昊提醒用户,如果手机莫名出现“内置软件卸载”图标,请尽快到360手机卫士官网下载专杀工具查杀恶魔守护者。目前,360手机卫士发布的恶魔守护者木马专杀已经独家实现彻底清除该木马。
360手机卫士专杀工具查杀“恶魔守护者”手机木马
研究发现,恶魔守护者主要由主包android.system.manager和由主包释放出来的子包com.android.tservice组成。木马抓住了手机用户想要卸载内置软件的需求,伪装成需要ROOT提权功能的软件,如“内置软件卸载”。“木马会利用多个已经公开的安卓安全漏洞来获得ROOT权限,有了ROOT权限,木马就有了对抗安全软件的能力,甚至可以将安全软件删除”,张昊介绍。
报告显示,主木马程序在手机中招后会首先完成获得ROOT权限,恶意子包的释放、安装和运行等基本工作。主木马程序还会偷偷联网上传手机的固件信息到黑客指定的服务器(core.mdot.cn)。
恶意子包被主木马程序启动后,通过伪装成“Google服务框架”(安卓系统一种官方应用服务)蒙蔽用户,即使恶意子包服务被意外关闭,仍可通过开机、滑动解锁、日期设置等多个用户操作来偷偷自启动。360手机安全工程师还发现,恶意子包还会自动更新升级。
恶意子包的恶意行为不但包括上传手机号、IMEI、手机型号、系统版本号等隐私信息。同时也会在后台偷偷下载安装未知应用。
“恶魔守护者”会在安卓手机的/system/bin路径下释放ELF可执行文件safe,工程师认为,safe文件的功能是为了保护恶意子包顺利运行并防止被卸载或查杀。Safe还会每隔30秒检查一次恶意子包是否被删除、木马进程是否还存在。如果没有,将会立即复活木马文件并将其运行。
“为了经济利益,PC端木马的一些攻击方法也逐渐出现在手机上,从范围上也从应用层转变为对系统底层的攻击,非常值得我们警惕”。张昊表示,目前大部分传统手机安全软件暂时无法彻底清除“恶魔守护者”木马,因此也建议手机用户,当发现手机莫名其妙出现“内置软件卸载”这样的图标,或者出现上述木马生成的文件名称,请立即下载360手机卫士推出的专杀工具,查杀恶魔守护者。
张昊同时提醒手机用户在下载应用时,尽量选择360手机助手这样经过安全检测的应用市场进行下载,从源头上避免遭遇这种“高精尖”手机木马。
“
