随着移动端Android系统安全软件对APP应用层查杀能力趋于成熟以及Google对Android安全性的重视,病毒与反病毒的主战场已逐渐从APP层扩展到Linux系统层。相对于APP应用层病毒,系统底层病毒更容易隐藏自己,也更容易对抗安全软件,其危害性更大,更不容易查杀。而且病毒作者也开始把PC端的病毒自我保护手段移植到移动端上,在手机端大量使用了免杀、加密、隐藏、反虚拟机、感染等传统PC端病毒的自我保护技术。
但是病毒始终是要暴露出行为,只要暴露行为就有办法找到查杀方法。并且病毒传播总也需要途径,因此,360安全中心给出以下几条建议:不要下载安装不受信任的软件;不要随便找个刷机网站就开始刷机;中了新型的病毒及时向360安全中心反馈,以免遭受更大的损失。
2015年,360互联网安全中心平均每天截获新安卓系统底层病毒上万个,全年感染用户量超过400万人次。这一年,360互联网安全中心发现了多种传播迅速并且对手机危害极大的系统底层病毒,极具代表性的有“蜥蜴之尾”、“百脑虫”、“万蓝”以及新版“权限杀手”等。此类病毒主要通过内置ROM、恶意应用进行疯狂传播。经过分析后,360互联网安全中心盘点了2015年度最为流行的10大手机Android系统底层病毒。
图1 2015年度10大手机底层病毒感染量总览图
TOP 1
——“百脑虫”木马
感染用户:119.5万
危险指数:
威胁:推广APP、订阅扣费服务、关闭安全软件、难卸载、反虚拟机
详细分析地址:http://blogs.360.cn/360mobile/2016/01/06/analysis_of_bainaochong/
病毒简介:
百脑虫病毒于2015年下半年开始爆发,期间,360移动安全中心不断收到用户反馈:手机出现莫名下载安装其他应用以及自动订阅扣费业务等问题。
百脑虫病毒主要在一些第三方电子市场或某些色情类网站进行疯狂传播。该病毒方便被不同APK打包调用,再加上嵌入的主要是一些热门应用,因此传播迅速,感染量已超百万。当病毒感染手机后,会根据不同的手机系统进行提权并阻止其他软件获取root权限,病毒还会检测运行环境以保护自己。受感染的手机会出现自动安装APP、自动订阅扣费服务等症状,手机还原出厂设置也无法解决问题。
图2 嵌入百脑虫病毒的色情类应用
图3 嵌入百脑虫病毒的非官方应用
评级理由:涉及“百脑虫”木马的应用种类众多,包含色情类应用、高人气应用等。一旦用户抵挡不住非法网站发布的色情类应用的诱惑或安全意识薄弱通过非官网下载高人气应用都可能被中招。“百脑虫”木马的扣费逻辑实现模块在云端,通过云端策略不定时下发到被感染机器,达到实时更新扣费模块、隐藏恶意罪行、长期可持续扣费的目的。
TOP 2
——“蜥蜴之尾”木马
感染用户:95.6万
危险指数:
威胁:感染系统库文件、替换系统文件、注入系统进程、窃取用户信息、监听通话与短信、订阅扣费服务
详细分析地址:http://blogs.360.cn/360mobile/2015/11/16/analysis_of_fakedebuggerd_d/
病毒简介:
“蜥蜴之尾”木马是“长老木马”三代的进化版。主要恶意行为由三代的推广APP演变为监听电话短信、订阅SP扣费服务等。据有些用户反馈,单月扣费金额达数百元。
下图为360互联网安全中心病毒分析人员与受感染用户聊天的部分记录。
图4 与感染用户的部分聊天记录
下图为感染用户向用户反馈的未经用户许可订阅的收费服务清单。
图5 实际感染用户反馈的收费服务清单截图
评级理由:“蜥蜴之尾”木马当之无愧是可以衡量2015年度手机底层病毒技术发展水平的最为典型的木马。该木马的核心技术突破及威胁体现在以下方面。
技术方面:
1. 对抗安全软件:在移动安全领域首次采用了静态感染技术,感染系统运行依赖的库文件,加大了查杀难度。此外,还采用相似文件路径欺骗法、 样本MD5自变化等传统PC端的病毒技术。
2. 自我保护:采用AES对称加密算法、自定义算法加密了所有相关插件、配置文件、数据库等。虽然AES加密算法已被很多病毒木马所采用,并不稀奇,但是隐藏解密所必须的public key的方法非常独特。不但每个插件、配置文件、数据库解密需要的publickey都不同,而且public key本身又以加密的形式写入到其他正常文件的尾部或加密数据文件的指定位置,加大了分析人员逆向分析的难度。
威胁方面:
1. 后台监听:云端即木马作者可以不定时下发“后台监听”指令来建立远程通讯,实现远程监听用户的隐私,给用户隐私带来极大的威胁。
2. 恶意扣费:云端即木马作者不定时下发“订阅”指令,指令参数包含商品名称、收费金额、SP计费点及订阅网点。木马收到指令后根据参数内容到指定SP网点“自动办理”订阅服务并屏蔽订阅回馈短信。因木马恶意扣费非常隐蔽且一般一次性扣费的金额较少,很多受害用户过了一段时间才察觉自己手机可能是中招。
3. 隐私采集:云端可以下发“短信采集”、“基本信息采集”等指令获取用户敏感信息以进行再次获利。如果犯罪分子成功获取到这些数据对于用户来说意味着非常可怕的后果。比如短信包含很多与熟人相关数据,非法分子可以以“借钱”等为由向用户的熟人发送短信,危及到受感染用户周围的亲朋好友,其危害程度不言而喻。
TOP 3
——“FakeDebuggerd”木马
感染用户:77.8万
危险指数:
威胁:伪装系统进程,静默推广其他应用,造成手机运行变慢、流量损失、手机耗电快,甚至可能传播其他木马病毒。
病毒简介:
从几年前发现长老木马,一直到现在,”FakeDebuggerd”家族都非常活跃。虽然技术上没什么亮点,但是这种病毒实现方式简便,成功率高,因此被很多不法分子利用。
Android系统把debuggerd做为守护进程,进程终止后,系统会立刻重新启动。木马利用这一点,替换debuggerd文件来达到自我保护的目的。即使查杀了木马APK,”FakeDebuggerd”也可以从/system/bin/debuggerd文件尾部将所有被删除的文件重新释放。有了“FakeDebuggerd”的保护,其他木马就可以明目张胆的扣费、推广APP或者窃取用户隐私了。
FakeDebuggerd Android rootkit详细分析地址:http://blogs.360.cn/360mobile/2014/03/06/fakedebuggerd-android-rootkit/
长老三详细分析地址:http://blogs.360.cn/360mobile/2014/11/24/analysis_of_fakedebuggerd_c_and_related_trojans/
评级理由:
病毒自身的扣费、推广、弹广告等恶行就已经够让人深恶痛绝了,在“FakeDebuggerd”的保护下,各种木马更加的肆无忌惮。虽然“FakeDebuggerd”自身替换debuggerd的恶行不会给用户带来明显的困扰,但是它为其他木马病毒提供了生存的温床,危害程度不容小觑。
TOP 4
——“幽灵推”相关底层模块
感染用户:58.3万
危险指数:
威胁:替换系统文件、推广APP、订阅扣费服务
病毒简介:
该木马伪装常用应用,经由googleplay等应用市场传播(已下架),通过静默提权方式,以root权限向系统植入底层病毒。
该模块属于“幽灵推”底层模块,在病毒上层应用释放提权模块并且提权成功后,该模块开始部署恶意插件。木马通过执行chattr命令锁定恶意文件,阻止被删除,达到自我保护的目的,通过修改install-recovery.sh系统文件,达到开机启动的目的。
评级理由:
正如他的名称一样,这个病毒会像幽灵一样威胁着用户的利益,难以摆脱。木马通过防止删除,替换系统文件,开机自启的方式来保护自己。
TOP 5
——“权限杀手”木马
感染用户:50.1万
危险指数:
威胁:ROM内置、对抗安全软件、监听短信、弹广告、推广、刷流量
详细分析地址:http://blogs.360.cn/360mobile/2015/06/29/analysis_of_pkiller/
病毒简介:
自2013年以来,ROM级内嵌手机病毒“权限杀手”通过不断更新变种,已经成功植入接近300个ROM在一些刷机市场大肆传播,导致国内多达50万用户遭受影响。
该病毒试图通过删除其他应用获取系统ROOT所使用的关键文件来对抗安全软件,在自以为安全的情况下,开始实施弹广告、监听短信、推广软件等恶行。病毒服务器会根据手机信息分发指令,为了提高存活率,病毒甚至将APK要操作的底层文件的文件名放入云端,切断了APK与底层文件的直接关联,从而增加查杀的难度。
评级理由:删除手机授权管理文件,阻止其他应用获取root权限,企图实现自己在系统权限中的绝对霸主地位,危险程度极高。
TOP 6
——“Andam”木马
感染用户:25.7万
危险指数:
威胁:自我保护、执行云端下发指令、推广APP
病毒简介:
该木马技术含量较低,其主要目的为运行后访问云端获取应用下载列表,进行恶意推广。同时监控自身相关文件变化,防止自身被安全软件清除。
评级理由:病毒文件被删除具有回写功能,后台一直联网检测下载任务,静默安装APP应用。虽然该木马技术含量很低,但是消耗移动流量、感染量大、潜在危害大。
TOP 7
——“糖果”木马
感染用户:23.8万
危险指数:
威胁:伪装系统文件、上传用户隐私、静默推广APP
病毒简介:该木马以插件形式内嵌到“聚折扣”、“手机散热大师”、“KMPlayer”等二次打包的应用中,迷惑不明真相的用户下载安装。用户一旦打开这些应用,木马就会被释放到系统/system/bin目录,伪装成zprop、boot_logo_updater等,并在用户/data等目录植入自己的数据文件。该木马具有下载、启用应用、删除应用、终止进程的功能,在用户不知情的情况下,进行APP推广获利。
评级理由:伪装系统文件实现开机启动,上传用户隐私信息造成信息泄露,支持多种指令,可以静默卸载、安装、启动、禁用各种应用,潜在危害大。
TOP 8
——“万蓝”木马
感染用户:10万
危险指数:
威胁:ROM内置、执行云端指令、推广APP
详细分析地址:http://blogs.360.cn/blog/analysis_of_wland/
病毒简介:
2015年5月中旬,360安全中心收到用户反馈,手机经常自动安装新的游戏应用。经分析排查发现,一款名为“万蓝”的ROM级手机木马正向用户伸出魔爪,通过静默推广以牟取利益。
“万蓝”拥有一套完整的体系结构,包括指令的下发,系统的检测以及版本的更新。通过严谨的运行逻辑来保证自身的隐秘性和稳定性,通过多达40个命令类型来保证自身功能的完整,通过从云端下载脚本推广的应用软件多达数十个。该木马主要通过植入为夏新、联想、小采等手机开发的三方ROM,在刷机网站进行传播。
图6 某知名刷机网站上发现的“万蓝”病毒
评级理由:我们经过大量测试分析发现很多刷机网站对于ROM收录流程的安全验证并不严谨,导致收录了很多包含恶意代码的ROM文件。到目前为止,恶意样本主要是植入为夏新、联想、小采等手机开发的三方ROM进行传播。即使安全意识较高的用户看到知名刷机网站的安全验证通过提示,很容易会降低警觉性并中招,真是防不胜防。“发烧友”们刷机时还真不能盲目相信官方给出的安全验证通过提示。
TOP 9
——“FakeSysCmd”木马
感染用户:7.7万
危险指数:
威胁:伪装系统文件、盗窃用户隐私、恶意推广、对抗安全软件
病毒简介:该木马家族伪装替换pm、adb_server、sz等系统命令。比如pm,是系统的软件包管理程序,木马替换该程序后,可以监控并自行安装卸载APP,甚至禁用安全软件。
我们还发现了病毒的一些保护措施,比如在使用pm的时候,替换成mp,企图掩盖其恶意行为,干扰分析。此手法着实低端,不过由此也看到了病毒的一些发展趋势——将自己隐藏到系统命令中,甚至替换系统命令,由病毒自己启动系统命令。
评级理由:此类病毒目前还是襁褓中的恶灵,功能简单,容易实现,还未发挥其真正的实力,一旦不怀好意的人掌握了更高级的技术,可能会给手机用户造成更大的损害。并且其替换的是系统命令,影响严重,感染量大,可能成为病毒发展的一大方向。
TOP 10
——“asshole”木马
感染用户:3.8万
危险指数:
威胁:静默提权、盗窃用户隐私、流氓推广。
病毒简介:木马作者恶意利用开源root框架,二次打包编译后以插件形式将病毒嵌入到常用软件或色情软件中,借助软件市场或色情网站传播。据360安全中心监控到的数据,该木马经常伪装成“抢票神器”、“流量统计”、“午夜看看”等。用户一旦使用这些软件,这个木马程序就会植入系统目录并在用户不知情的情况下,拿到手机root权限,从网络下载其他木马或恶意软件,危害极大。
图7 “asshole”嵌入的正常应用
图8 “asshole”嵌入的色情应用
评级理由:可以理解作者渴望被关注的心情,不然也不会起这么个名字。不仅仅是病毒流氓,作者自身也是博学多才,这么生僻的词汇都能想到。利用正常的开源框架来实现恶意功能是挺有新意的,在引起关注这一点上,作者算是成功了。
本文转自d1net(转载)