“安卓僵尸”木马突袭 360手机卫士查杀

　　【赛迪网-IT技术讯】2011年6月1日消息，360手机云安全中心近日拦截到新一批Android木马，并将其命名为“安卓僵尸”，值得注意的是，这是近一个月以来Android平台第三次恶性木马爆发，安全形势令人堪忧。

　　据了解，此木马与塞班平台的僵尸木马属同源，利用系统漏洞获取root权限，具备自动侦测安全软件运行并防查杀的功能，完全控制并让用户手机沦为僵尸手机，破坏性极强。目前，具备Root杀毒功能的360手机卫士能够独家查杀“安卓僵尸”，用户可以在线更新或登录shouji.360.cn下载最新版本。

　　

　　

　　

　　图1： “安卓僵尸”木马被查杀

　　经安全专家分析，“安卓僵尸”木马“安卓僵尸”通常伪装为正常软件（如：新华瑞德、speedup等等），并在软件包中包含一个木马子包，伪装成名为“legacy”的无后缀的文件，子包安装后在程序列表中伪装为谷歌搜索，如Google SSearch（图2，注意不是google search）。

　　

　　

　　

　　图2：木马子包伪装成Google的服务

　　在木马运行后，子包利用Android系统的溢出漏洞，非法获取root权限，将系统目录挂载为可读写状态并将自身木马子包嵌入到系统目录下，使用户无法删除，黑客可以对“僵尸手机”实行回传隐私，卸载特定软件以及安装新木马等一系列恶性操作！

　　安全专家发现，在植入用户手机后，僵尸木马会不断从服务器端获取攻击指令，等于让用户手机成为肉鸡，完全成为了黑客的傀儡！为了让用户详细了解“安卓僵尸”的运作流程，360安全专家对木马代码进行了分析。

　　

　　

　　

　　图3：向服务器回传用户隐私的相关代码

　　图3所示，“安卓僵尸”木马子包能够私自联网，回传用户隐私信息，如IMEI串号，手机设置，联网配置、程序列表等等，便于黑客配置特定的攻击指令。

　　

　　

　　

　　图4：木马连接远端服务器，获取恶意行为指令

　　

　　

　　

　　图5：木马能够执行安装/卸载动作，从远端获取卸载任何程序的指令

　　

　　

　　

　　图6：几个作恶的文件合力终止特定进程

　　图5可见，木马子包中捆绑的gjsvro、ratc、killall三个elf文件，获取root权限后自动释放到system/bin目录下，三个文件协作将杀掉包括安全软件内的其他软件进程。

　　至此，黑客已完全取得用户手机的控制权，可以为所欲为，实施包括回传用户手机中任何隐私信息，终止安全软件，安装其他木马等恶性操作，让无数手机沦为“僵尸”。

　　在明确“安卓僵尸”木马的作恶手段后，手机安全专家为广大Android用户提出了几点建议，提醒用户小心防范：

　　1、通过篡改正常软件来作恶的木马，通常在权限上会有所体现，木马包的权限和正常包会有明显不同，木马会多出数个敏感高危权限，用户可以此为依据辨别；

　　2、在选择应用下载网站时，应该尽量选择大型可信站点，如Google官方市场或360手机必备等经过人工检测绝丢安全的软件，并养成经常杀毒的习惯；

　　3、Android平台的开放性也给木马提供了隐蔽的条件，如果木马获取高权限，用户将很难察觉木马入侵，所以最好安装具有云安全智能拦截功能的手机安全软件，进行主动防御与一键查杀。

　　

　　
文章来源：http://tech.ccidnet.com/art/32963/20110602/2405595_1.html

免责声明：本文仅代表作者个人观点，与世界朋友网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。