繼央視新聞曝光全球首個安卓手機木馬“不死木馬”后,近日,央視經濟半小時再次對“不死木馬”的發現、傳播及危害做了深度報道。與以往木馬不同,“不死木馬”被寫入手機磁盤引導區后,很多殺毒軟件均無法徹底將其清除。為此,360手機衛士提醒廣大安卓手機用戶,如發現手機出現奇怪軟件,即有可能已感染該病毒,應盡快對手機進行安全檢查,避免木馬入侵帶來的個人信息和經濟損失。
據報道,“不死木馬”是在手機流通和銷售的某個環節被人手工刷入手機中,再將帶病毒的手機賣給消費者。感染木馬的手機會自動下載大量色情軟件,即使手動刪除,手機重啟后,病毒仍會“復活”。病毒木馬一經安裝,便會竊取手機用戶隱私、自行后臺定制服務扣費、消耗手機流量,甚至發送詐騙短信等,給感染木馬的用戶帶來極大的安全隱患。
不死木馬牽出十億刷機黑色產業鏈
該木馬的出現,牽出了國內一個制造手機木馬、刷入手機木馬、將帶毒手機出售給消費者的龐大神秘黑色產業鏈。
此前一直有報道稱某些IT賣場的商家會將手機木馬植入手機中,但由于手機木馬也可以通過網絡傳播進行遠程攻擊,所以并未抓到確鑿證據。而此次360捕獲的“不死木馬”則和之前的不同。
據360手機安全專家朱翼鵬分析,“不死木馬”被植入手機磁盤引導區有兩種方法:
1)攻擊者曾物理地接觸到被感染手機,并將包含了惡意文件的boot。img鏡像文件刷到設備的boot分區中;
2)在系統運行期間,獲得root權限之后,通過dd工具將惡意文件強行地寫入到磁盤的boot分區中。
手機感染“不死木馬”(oldboot)
但目前所有的證據都支持第一種可能性。首先,360得到的受害者被感染手機樣本購買于中關村的某大型IT賣場,并非購買于官方渠道。
其次,被感染設備(三星Galaxy Note II)安裝了Samsung官方的系統,其中的普通系統軟件均包含有效的Samsung官方簽名,但是recovery分區已經被替換為一個第三方的ROM。此外,boot分區下的所有文件都擁有相同的時間戳。
最后,基于360的云安全技術,所有被感染設備的型號中,超過一半都不是流行的大眾機型。而如果采用第二種攻擊方法進行遠程感染,目標是隨機不可控的,被感染設備型號分布應該更接近于Android設備的市場分布情況。
所以,可以斷定,“不死木馬”是在手機的流通和銷售的某個環節,被人手工刷入手機中,再將帶毒手機賣給消費者的。
而據360手機衛士統計,目前國內感染該木馬的手機超過了50萬臺。那么,是誰制造了這個木馬?是誰將木馬刷入了受害者的手機中?有多少人參與了這條“黑色產業鏈”?有多少受害者還在被暗中“吸費”?。
據360手機安全專家朱翼鵬介紹,保守估計國內年水貨手機銷量近2000萬部,龐大的水貨市場衍生出了刷機產業鏈,但已知的刷機主要以刷應用軟件,賺取推廣費為主,按照每部50元計算,保守估計這個產業鏈最少是10億級別。
比如,深圳水貨手機入關后,立刻就會淹沒在刷機產業鏈中,大部分人拿到手的手機已經預裝各類軟件應用。一部從深圳華強北流出來的手機,到消費者手中時,也許已被刷過五六次,每次刷機,大水貨批發商、小一級批發商以及全國水貨網點都會把各種軟件刷入,并向軟件開發商收預裝費。一般來說,一個軟件收取1元到10元不等。
而此次出現的“不死木馬”,單個木馬感染量高達50萬,可以預計,未來將會出現更多這種人工刷入手機磁盤引導區的木馬,對消費者資費安全造成嚴重威脅。
面對此類安全隱患 消費者如何防范?
在360手機衛士最新版進行查殺之外,360手機安全專家還建議:
定期更新360手機衛士,及時查殺“不死木馬”后續變種;
在專殺工具檢測到“不死木馬”后,將機型信息和樣本上報給我們,可以幫助我們更好地發現新的變種,保衛更多用戶的手機安全;
由于只有系統被篡改的手機設備才會感染“不死木馬”,如果使用360專殺工具檢測到“不死木馬”,您也可以直接聯系手機的經銷商,協商售后事宜;
此外,360手機安全專家表示,“不死木馬”通過物理接觸或磁盤操作將自身寫入boot分區,并改寫init。rc腳本,是一個具有標志性意義的手機木馬。這種攻擊技術可能在將來被其他木馬所使用,造成安卓反病毒事業上下一輪艱難的攻防對抗。
