安全播报第489期

    手机病毒正在变得越来越“拟人化”。日前，360手机安全中心发现了首次在Android系统中通过感染方式进行自我保护的木马病毒——“蜥蜴尾”，采用“注射”式的静态感染方法入侵手机底层系统，查杀难度高，还能繁衍数十万变种，感染力极强。“蜥蜴尾”木马是由360手机安全中心此前截获的“长老木马”三代一个恶意子模块演变而来，也被称为“长老木马”四代。目前，“蜥蜴尾”木马总感染量已经超过80万，360手机急救箱已实现首家查杀。

    “蜥蜴尾”木马拥有几十万变种

    不同于一般的手机木马伪装成常用APP的作恶方式，“蜥蜴尾”木马拥有独特的加密解密模式，通过在文件末尾嵌入32位长度的字符串，解密后当作KEY,用于私有数据库等配置文件的AES/DES加密与解密。但就是这一方法，导致同一版本长老四，出现几十万个变种。这种相似文件路径欺骗法、 样本MD5自变化等正是传统PC端的病毒技术，伪装性极高。

    360手机安全专家分析称，“蜥蜴尾”木马主要分为launcher和核心作恶的ELF可执行模块，图1为两个“蜥蜴尾”ELF可执行文件的对比，可以看出，其文件末尾嵌入随机生成的32位长度的字符串，同一版的“蜥蜴尾”木马则出现几十万个变种，并具有极高的感染性。

    “注射”式的静态感染方法 躲避安全软件查杀

    “蜥蜴尾”与长老木马三代有紧密的关系，是由其子模块发展而来。同长老木马三代相比，“蜥蜴尾”采用的“注射”式的静态感染方法，可将恶意代码插入到被感染的系统文件，在被感染系统文件即中完成“蜥蜴尾”的启动工作。值得指出的是，“蜥蜴尾”是在Android系统中首次采用感染技术的木马。

    这种“静态感染”方式加大了查杀难度。首先，增强了“蜥蜴尾”的隐蔽性，被感染的系统文件装载时加载恶意launcher，接着launcher启动ELF可执行文件。由于被感染的系统库文件除了导入表多了一行字符串（launcher的路径）之外，与其他正常系统库文件完全相同，容易躲过安全软件的查杀。

    其次，增加杀毒软件的修复难度，由于被感染的库文件随系统进程启动时尝试加载导入表中的所有so文件，可能会因为安全软件的暴力删除导致手机系统挂机。

    “蜥蜴尾”置于系统层感染

    同以往的病毒有所不同，“蜥蜴尾”木马是对系统层的感染，“蜥蜴尾”木马通过更加隐蔽的“静态感染”启动方式，将恶意代码插入到被感染的系统文件，在被感染系统文件中完成其启动工作，最终实现了对于手机系统层的感染。

    “蜥蜴尾”木马还能通过感染技术实现自我保护和隐藏自身恶意代码，具有PC端的病毒自我保护手段，能够在移动端大量使用了免杀、加密、隐藏、反虚拟机等传统PC端病毒自我保护技术，更加不容易查杀。

    对手机隐私及流量安全威胁极大

    “蜥蜴尾”木马的ELF可执行模块包括distillery、plugins及redbean三个主要部分。只要手机受其感染，这些插件能够在受感染的手机中执行远程服务端指令、恶意扣费、短信拦截监控、下载和更新插件、后台通话等潜在恶意行为，泄露受感染手机用户的隐私，尤其是对流量安全有极大的危害，能在手机用户毫无察觉的情况下通过下载插件、订购业务等手段造成手机流量的大量流失，给用户造成经济上的损失。

    360手机安全专家指出，“蜥蜴尾”木马感染的手机几乎涵盖所有主流机型，Android4.0.3以上系统成为感染重灾区，手机用户一定要通过正规渠道下载安装App应用，同时，安装专业的安全软件，开启安全监控。如果手机已经刷过第三方ROM或者手机已经Root，360手机安全专家建议手机用户采用360手机急救箱进行一次完整的深度扫描，查杀“蜥蜴尾”木马，保证手机使用安全。

    打客服退网票被骗2000元

    日前，360手机安全中心接到反馈：网友小苏在购买了电影票后，接到了一条短信告知：“系统升级无法出票”，需办理退票。可是在拨打了短信告知的400退票客服电话后，银行卡里竟被扣除了近2000元！

    7日下午，网友小苏打算订购8日下午14:15的在北京望京某影院的电影票，但那个时间段没票了，拿到的票是7号下午18：50分的。因觉得时间较晚，回家不便想要退票时，小苏收到一条手机短信，短信中称：“因系统升级无法出票，请尽快办理退票”。并提供了一个400开头的“客服电话”。

    原本就觉得电影时间不合适的小苏看到可以退票，便立即拨打了短信中的“客服电话”。“客服人员”称因系统升级，退款无法直接退至原本买票的银行卡，向小苏索要了另外的银行卡号，并以系统验证为由，要去了短信验证码。可是挂掉电话后，小苏就收到了银行卡被扣款1798元的短信通知。

    360手机安全专家对整个“退电影票诈骗”的过程分析后指出，在这一起案例中，不法分子通过社会工程学骗取了受害者的信任，并诈骗得手：首先，发来短信的400号码，与受害者购票网站百度糯米的客服号码一致，这让受害者认为这条短信是来自电影票订购平台官方的；其次，假冒的客服人员在电话中的“专业”话术，更让受害者信以为真。

    手机安全专家指出，近段时间以来，电话诈骗行为开始从原来主动的诈骗电话打上门，转变为通过诈骗短信诱导受害者主动拨打虚假电话。这种手法的得手率更高，普通手机用户更难区分与警戒。

    360手机安全专家提示，以上这个案例中，不法分子利用个人隐私信息、诈骗短信、虚假的客服电话等多种方式盗取网友钱财，实难防范。对于陌生短信中的400、800等开头的电话，拨打前还需要多加留心。平时生活中建议网友注意保护个人隐私，同时可使用360手机卫士等具备拦截手机木马、识别钓鱼网站能力的手机安全软件。即使不幸被骗，开通手机先赔险也可获得相应赔偿。

    据悉，在双11期间，360手机卫士推出史上最给力的承诺：“手机用户在双11当天用手机网购被骗，360手机卫士全额赔付，单笔最高10万元！”

    伪基站短信猖獗 银行存款不翼而飞

    银行卡不离身，但是卡中的几千元甚至几十万元不翼而飞，近段时间，关于这种新型诈骗方式的新闻屡见不鲜。最令受骗者苦恼的是，银行方面还常常拒不承担责任。银行卡被盗刷究竟如何是好？近日，北京卫视《生活2015》栏目组对这个现象进行了解密，并邀请了360手机安全专家前来支招。

    追回方式一：坚决不提供交易验证密码

    前不久，刘女士的手机收到一条短信，内容是信用卡积分过万，可以兑换现金。将信将疑的刘女士点开了短信链接，页面显示的是银行“官方网站”，刘女士按照页面提示填写了个人信息，并收到了一条验证码，这条信息显示，刘女士的卡里还有四千余额，并备注“不作为扣费处理”，可当刘女士发出验证码后，却收到了信用卡被消费四千多的信息。

    类似的遭遇还发生在陈先生身上。陈先生前不久也收到短信，显示银行卡被转走九万多。陈先生赶紧打电话给银行官方客服，工作人员表示这笔钱还在账户里，并指导陈先生点开“我的贵金属”，并进行“全部赎回”。就这样，陈先生跟随银行工作人员的操作指示，成功赎回了八万多。

    同样的遭遇，刘女士损失了一大笔资金，而陈先生却成功找回了绝大部分。这是为什么呢？360手机安全专家解释，这两者最根本的原因就在于刘女士将短信验证码提供给了对方。

    360手机安全专家葛健表示，刘女士和陈先生收到的短信，都是由伪基站发送的，短信里的银行链接实际上是一个钓鱼网站。这种诈骗方式的流程基本是，受骗者先是收到带有钓鱼链接的短信，再让你填写收到的短信验证码。为了消除受骗者的疑虑，对方还会说这个交易额是虚拟。一旦受骗者填写了验证码，这笔交易基本已实际完成。

    专家提醒广大手机用户，一旦收到要求提供短信验证码时，千万要提高警惕。如果无法分辨短信的真伪，可以在第一时间打电话给银行官方客服进行核实，或者在手机中安装360手机卫士等安全软件，接收到伪基站发来的诈骗信息，可以自动识别并拦截。

    追回方式二：就近到营业网点做一个存、取款的动作

    刘女士的信用卡最终被盗刷四千多，银行要求她按时还款。刘女士不服，认为银行管理存在漏洞，才让骗子有机可乘。而银行方面则解释是客户自己泄漏了个人信息，损失应由刘女士自行承担。

    银行和受骗者各执一词。受骗者如何进行维权？秦女士也是收到同样的诈骗短信，内容显示账户被划走二十多万。秦女士在和银行确认这笔交易的确存在后，立即到附近营业网点往账户里存入了一元钱，从而证明了银行卡就在自己身上，也证实这笔交易是异地消费，从而成为了自己维权的证据。

    相关律师也提醒，一旦遇到银行卡被盗刷的情况，可以选择就近找一个营业网点，去做一个存、取款的动作，从而取得证据证明盗刷行为并不是自己所为，进而请银行方面协助追回自己的财产。