【移動通信網(wǎng)】“蜥蜴尾”木馬感染80萬部手機360手機急救箱首家查殺
手機病毒正在變得越來越“擬人化”。日前,360手機安全中心發(fā)現(xiàn)了首次在Android系統(tǒng)中通過感染方式進行自我保護的木馬病毒——“蜥蜴尾”,采用“注射”式的靜態(tài)感染方法入侵手機底層系統(tǒng),查殺難度高,還能繁衍數(shù)十萬變種,感染力極強!膀狎嫖病蹦抉R是由360手機安全中心此前截獲的“長老木馬”三代一個惡意子模塊演變而來,也被稱為“長老木馬”四代。目前,“蜥蜴尾”木馬總感染量已經(jīng)超過80萬,360手機急救箱已實現(xiàn)首家查殺。
圖1:360手機急救箱查殺“蜥蜴尾”木馬
“蜥蜴尾”木馬擁有幾十萬變種
不同于一般的手機木馬偽裝成常用APP的作惡方式,“蜥蜴尾”木馬擁有獨特的加密解密模式,通過在文件末尾嵌入32位長度的字符串,解密后當作KEY,用于私有數(shù)據(jù)庫等配置文件的AES/DES加密與解密。但就是這一方法,導致同一版本長老四,出現(xiàn)幾十萬個變種。這種相似文件路徑欺騙法、樣本MD5自變化等正是傳統(tǒng)PC端的病毒技術,偽裝性極高。
圖2:“蜥蜴尾”木馬兩個ELF可執(zhí)行文件的對比
360手機安全專家分析稱,“蜥蜴尾”木馬主要分為launcher和核心作惡的ELF可執(zhí)行模塊,圖1為兩個“蜥蜴尾”ELF可執(zhí)行文件的對比,可以看出,其文件末尾嵌入隨機生成的32位長度的字符串,同一版的“蜥蜴尾”木馬則出現(xiàn)幾十萬個變種,并具有極高的感染性。
“注射”式的靜態(tài)感染方法躲避安全軟件查殺
“蜥蜴尾”與長老木馬三代有緊密的關系,是由其子模塊發(fā)展而來。同長老木馬三代相比,“蜥蜴尾”采用的“注射”式的靜態(tài)感染方法,可將惡意代碼插入到被感染的系統(tǒng)文件,在被感染系統(tǒng)文件即中完成“蜥蜴尾”的啟動工作。值得指出的是,“蜥蜴尾”是在Android系統(tǒng)中首次采用感染技術的木馬。
圖3:被感染的系統(tǒng)庫文件\system\bin\libglog.so
這種“靜態(tài)感染”方式加大了查殺難度。首先,增強了“蜥蜴尾”的隱蔽性,被感染的系統(tǒng)文件裝載時加載惡意launcher,接著launcher啟動ELF可執(zhí)行文件。由于被感染的系統(tǒng)庫文件除了導入表多了一行字符串(launcher的路徑)之外,與其他正常系統(tǒng)庫文件完全相同,容易躲過安全軟件的查殺。
其次,增加殺毒軟件的修復難度,由于被感染的庫文件隨系統(tǒng)進程啟動時嘗試加載導入表中的所有so文件,可能會因為安全軟件的暴力刪除導致手機系統(tǒng)掛機。
“蜥蜴尾”置于系統(tǒng)層感染
同以往的病毒有所不同,“蜥蜴尾”木馬是對系統(tǒng)層的感染,“蜥蜴尾”木馬通過更加隱蔽的“靜態(tài)感染”啟動方式,將惡意代碼插入到被感染的系統(tǒng)文件,在被感染系統(tǒng)文件中完成其啟動工作,最終實現(xiàn)了對于手機系統(tǒng)層的感染。
“蜥蜴尾”木馬還能通過感染技術實現(xiàn)自我保護和隱藏自身惡意代碼,具有PC端的病毒自我保護手段,能夠在移動端大量使用了免殺、加密、隱藏、反虛擬機等傳統(tǒng)PC端病毒自我保護技術,更加不容易查殺。
對手機隱私及流量安全威脅極大
“蜥蜴尾”木馬的ELF可執(zhí)行模塊包括distillery、plugins及redbean三個主要部分。只要手機受其感染,這些插件能夠在受感染的手機中執(zhí)行遠程服務端指令、惡意扣費、短信攔截監(jiān)控、下載和更新插件、后臺通話等潛在惡意行為,泄露受感染手機用戶的隱私,尤其是對流量安全有極大的危害,能在手機用戶毫無察覺的情況下通過下載插件、訂購業(yè)務等手段造成手機流量的大量流失,給用戶造成經(jīng)濟上的損失。
圖4:“蜥蜴尾”木馬感染地域分布
360手機安全專家指出,“蜥蜴尾”木馬感染的手機幾乎涵蓋所有主流機型,Android4.0.3以上系統(tǒng)成為感染重災區(qū),手機用戶一定要通過正規(guī)渠道下載安裝App應用,同時,安裝專業(yè)的安全軟件,開啟安全監(jiān)控。如果手機已經(jīng)刷過第三方ROM或者手機已經(jīng)Root,360手機安全專家建議手機用戶采用360手機急救箱進行一次完整的深度掃描,查殺“蜥蜴尾”木馬,保證手機使用安全。