最近有媒體爆料,最高級的Android木馬已經現身,據稱“它能利用Android操作系統此前未知的漏洞提升程序權限,并能阻止被卸載。”該惡意程序被稱為“Backdoor。AndroidOS。Obad。a”,其惡意行為是通過悄悄向增值服務號碼發送短信獲利。利用Android未曾發現漏洞并且無法卸載,“史上最強Android木馬”有多神奇?就此,360手機安全專家為我們做了深度剖析,詳解攻破“最強木馬”三層防查殺的整個過程。
第一層:封堵病毒分析主要入口阻止安全工程師獲取安全信息
首先,360手機安全專家發現,該木馬為逃避殺毒軟件查殺確實煞費苦心。它在代碼中采取了一些專門針對病毒分析人員的措施,為安全公司分析它增加難度。例如,大多數安全公司分析Android木馬樣本時,通常采用AXML解析工具來解析樣本的主配置文件AndroidManifest。xml文件。該文件包含了Android應用的主要模塊入口信息,是木馬分析時的重要線索。Obad。a木馬故意構造了一個非標準的AndroidManifest。xml文件,使得病毒分析人員無法得到完整數據。
第二層:對指令代碼進行特殊處理阻止反編譯
該木馬除了對代碼進行加密處理以外,還通過對指令代碼進行特殊處理,使得安全公司常用的Java反編譯工具無法正確地反編譯其指令,增加對木馬的分析難度:
第三層:利用系統缺陷阻止用戶卸載
該木馬為防止被用戶發現后卸載煞費苦心。Android系統從2.2版本開始,提供了一個“設備管理器”的功能,其初衷是為企業部署遠程IT控制使用,為了防止員工私自卸載企業安裝的“設備管理器”,一旦激活設備管理器之后,該設備管理器就不可刪除。但是,由于Android系統對此功能設計的不完善,使得木馬可以利用這個機制,讓自己注冊成為一個設備管理器,從而阻止用戶卸載。
木馬首先會提示用戶“激活設備管理器”:
而一旦用戶不慎點了“激活”,那么木馬就被注冊成了設備管理器,此時該木馬的“強行停止”和“卸載”按鈕將完全失效,即,木馬無法關閉,也無法卸載:
最可怕的是,設備管理器還存在一定缺陷,當木馬故意以一種錯誤的方式來注冊設備管理器時,Android系統也能讓它注冊成功,但是在設備管理器列表中不會顯示。用戶因此找不到取消注冊設備管理器入口,無法取消木馬的設備管理權限。
系統中甚至不會列出木馬所注冊的設備管理器
Android未知漏洞去年已發現360手機衛士已可查殺相關木馬
如此精心布防給安全廠商帶來不小的難度,據360手機安全專家介紹,360擁有強大的“動態沙箱分析系統”,當“Backdoor。AndroidOS。Obad。a”木馬試圖竊取用戶隱私、發送短信吸費時,360的主動防御系統會進行攔截,提醒用戶木馬正在嘗試獲取本機號碼等危險操作:
而“Backdoor。AndroidOS。Obad。a”木馬所利用的Android系統未知漏洞,360手機安全中心在2012年早已率先發現。據360手機安全專家介紹,去年在分析一款名為“LockMe”的應用時,發現其觸發了Android的一個系統缺陷,導致無法正常卸載。
“史上最強Android木馬”雖然沒有傳說中那么危言聳聽,但仍需小心警惕。360手機安全專家介紹,手機只需要安裝最新版本的360手機衛士,就可以聯網查殺該木馬。不過還是建議用戶
1.如果安裝應用提示注冊設備管理器時,應確認這是可靠的應用;
2.如果用戶不慎激活了設備管理器,導致應用無法被卸載時,可以用360手機衛士“軟件管家”的強力卸載功能將其徹底卸載。
3.啟用360手機衛士的主動防御功能,可攔截未知木馬。
4.及時升級360手機衛士最新病毒庫,定期聯網云查殺,以查殺最新的木馬和病毒。
相關教程:360手機衛士如何進行手機殺毒
