继央视新闻曝光全球首个安卓手机木马“不死木马”后,近日,央视经济半小时再次对“不死木马”的发现、传播及危害做了深度报道。与以往木马不同,“不死木马”被写入手机磁盘引导区后,很多杀毒软件均无法彻底将其清除。为此,360手机卫士提醒广大安卓手机用户,如发现手机出现奇怪软件,即有可能已感染该病毒,应尽快对手机进行安全检查,避免木马入侵带来的个人信息和经济损失。
据报道,“不死木马”是在手机流通和销售的某个环节被人手工刷入手机中,再将带病毒的手机卖给消费者。感染木马的手机会自动下载大量色情软件,即使手动删除,手机重启后,病毒仍会“复活”。病毒木马一经安装,便会窃取手机用户隐私、自行后台定制服务扣费、消耗手机流量,甚至发送诈骗短信等,给感染木马的用户带来极大的安全隐患。
不死木马牵出十亿刷机黑色产业链
该木马的出现,牵出了国内一个制造手机木马、刷入手机木马、将带毒手机出售给消费者的庞大神秘黑色产业链。
此前一直有报道称某些IT卖场的商家会将手机木马植入手机中,但由于手机木马也可以通过网络传播进行远程攻击,所以并未抓到确凿证据。而此次360捕获的“不死木马”则和之前的不同。
据360手机安全专家朱翼鹏分析,“不死木马”被植入手机磁盘引导区有两种方法:
1)攻击者曾物理地接触到被感染手机,并将包含了恶意文件的boot。img镜像文件刷到设备的boot分区中;
2)在系统运行期间,获得root权限之后,通过dd工具将恶意文件强行地写入到磁盘的boot分区中。
手机感染“不死木马”(oldboot)
但目前所有的证据都支持第一种可能性。首先,360得到的受害者被感染手机样本购买于中关村的某大型IT卖场,并非购买于官方渠道。
其次,被感染设备(三星Galaxy Note II)安装了Samsung官方的系统,其中的普通系统软件均包含有效的Samsung官方签名,但是recovery分区已经被替换为一个第三方的ROM。此外,boot分区下的所有文件都拥有相同的时间戳。
最后,基于360的云安全技术,所有被感染设备的型号中,超过一半都不是流行的大众机型。而如果采用第二种攻击方法进行远程感染,目标是随机不可控的,被感染设备型号分布应该更接近于Android设备的市场分布情况。
所以,可以断定,“不死木马”是在手机的流通和销售的某个环节,被人手工刷入手机中,再将带毒手机卖给消费者的。
而据360手机卫士统计,目前国内感染该木马的手机超过了50万台。那么,是谁制造了这个木马?是谁将木马刷入了受害者的手机中?有多少人参与了这条“黑色产业链”?有多少受害者还在被暗中“吸费”?。
据360手机安全专家朱翼鹏介绍,保守估计国内年水货手机销量近2000万部,庞大的水货市场衍生出了刷机产业链,但已知的刷机主要以刷应用软件,赚取推广费为主,按照每部50元计算,保守估计这个产业链最少是10亿级别。
比如,深圳水货手机入关后,立刻就会淹没在刷机产业链中,大部分人拿到手的手机已经预装各类软件应用。一部从深圳华强北流出来的手机,到消费者手中时,也许已被刷过五六次,每次刷机,大水货批发商、小一级批发商以及全国水货网点都会把各种软件刷入,并向软件开发商收预装费。一般来说,一个软件收取1元到10元不等。
而此次出现的“不死木马”,单个木马感染量高达50万,可以预计,未来将会出现更多这种人工刷入手机磁盘引导区的木马,对消费者资费安全造成严重威胁。
面对此类安全隐患 消费者如何防范?
在360手机卫士最新版进行查杀之外,360手机安全专家还建议:
定期更新360手机卫士,及时查杀“不死木马”后续变种;
在专杀工具检测到“不死木马”后,将机型信息和样本上报给我们,可以帮助我们更好地发现新的变种,保卫更多用户的手机安全;
由于只有系统被篡改的手机设备才会感染“不死木马”,如果使用360专杀工具检测到“不死木马”,您也可以直接联系手机的经销商,协商售后事宜;
此外,360手机安全专家表示,“不死木马”通过物理接触或磁盘操作将自身写入boot分区,并改写init。rc脚本,是一个具有标志性意义的手机木马。这种攻击技术可能在将来被其他木马所使用,造成安卓反病毒事业上下一轮艰难的攻防对抗。