史上最能藏的手機(jī)病毒:“蜥蜴尾”木馬繁衍數(shù)十萬變種

    【移動(dòng)通信網(wǎng)】“蜥蜴尾”木馬感染80萬部手機(jī)360手機(jī)急救箱首家查殺

    手機(jī)病毒正在變得越來越“擬人化”。日前,360手機(jī)安全中心發(fā)現(xiàn)了首次在Android系統(tǒng)中通過感染方式進(jìn)行自我保護(hù)的木馬病毒——“蜥蜴尾”,采用“注射”式的靜態(tài)感染方法入侵手機(jī)底層系統(tǒng),查殺難度高,還能繁衍數(shù)十萬變種,感染力極強(qiáng)。“蜥蜴尾”木馬是由360手機(jī)安全中心此前截獲的“長老木馬”三代一個(gè)惡意子模塊演變而來,也被稱為“長老木馬”四代。目前,“蜥蜴尾”木馬總感染量已經(jīng)超過80萬,360手機(jī)急救箱已實(shí)現(xiàn)首家查殺。

圖1:360手機(jī)急救箱查殺“蜥蜴尾”木馬

    “蜥蜴尾”木馬擁有幾十萬變種

    不同于一般的手機(jī)木馬偽裝成常用APP的作惡方式,“蜥蜴尾”木馬擁有獨(dú)特的加密解密模式,通過在文件末尾嵌入32位長度的字符串,解密后當(dāng)作KEY,用于私有數(shù)據(jù)庫等配置文件的AES/DES加密與解密。但就是這一方法,導(dǎo)致同一版本長老四,出現(xiàn)幾十萬個(gè)變種。這種相似文件路徑欺騙法、樣本MD5自變化等正是傳統(tǒng)PC端的病毒技術(shù),偽裝性極高。

圖2:“蜥蜴尾”木馬兩個(gè)ELF可執(zhí)行文件的對(duì)比

    360手機(jī)安全專家分析稱,“蜥蜴尾”木馬主要分為launcher和核心作惡的ELF可執(zhí)行模塊,圖1為兩個(gè)“蜥蜴尾”ELF可執(zhí)行文件的對(duì)比,可以看出,其文件末尾嵌入隨機(jī)生成的32位長度的字符串,同一版的“蜥蜴尾”木馬則出現(xiàn)幾十萬個(gè)變種,并具有極高的感染性。

    “注射”式的靜態(tài)感染方法躲避安全軟件查殺

    “蜥蜴尾”與長老木馬三代有緊密的關(guān)系,是由其子模塊發(fā)展而來。同長老木馬三代相比,“蜥蜴尾”采用的“注射”式的靜態(tài)感染方法,可將惡意代碼插入到被感染的系統(tǒng)文件,在被感染系統(tǒng)文件即中完成“蜥蜴尾”的啟動(dòng)工作。值得指出的是,“蜥蜴尾”是在Android系統(tǒng)中首次采用感染技術(shù)的木馬。

圖3:被感染的系統(tǒng)庫文件\system\bin\libglog.so

    這種“靜態(tài)感染”方式加大了查殺難度。首先,增強(qiáng)了“蜥蜴尾”的隱蔽性,被感染的系統(tǒng)文件裝載時(shí)加載惡意launcher,接著launcher啟動(dòng)ELF可執(zhí)行文件。由于被感染的系統(tǒng)庫文件除了導(dǎo)入表多了一行字符串(launcher的路徑)之外,與其他正常系統(tǒng)庫文件完全相同,容易躲過安全軟件的查殺。

    其次,增加殺毒軟件的修復(fù)難度,由于被感染的庫文件隨系統(tǒng)進(jìn)程啟動(dòng)時(shí)嘗試加載導(dǎo)入表中的所有so文件,可能會(huì)因?yàn)榘踩浖谋┝h除導(dǎo)致手機(jī)系統(tǒng)掛機(jī)。

    “蜥蜴尾”置于系統(tǒng)層感染

    同以往的病毒有所不同,“蜥蜴尾”木馬是對(duì)系統(tǒng)層的感染,“蜥蜴尾”木馬通過更加隱蔽的“靜態(tài)感染”啟動(dòng)方式,將惡意代碼插入到被感染的系統(tǒng)文件,在被感染系統(tǒng)文件中完成其啟動(dòng)工作,最終實(shí)現(xiàn)了對(duì)于手機(jī)系統(tǒng)層的感染。

    “蜥蜴尾”木馬還能通過感染技術(shù)實(shí)現(xiàn)自我保護(hù)和隱藏自身惡意代碼,具有PC端的病毒自我保護(hù)手段,能夠在移動(dòng)端大量使用了免殺、加密、隱藏、反虛擬機(jī)等傳統(tǒng)PC端病毒自我保護(hù)技術(shù),更加不容易查殺。

    對(duì)手機(jī)隱私及流量安全威脅極大

    “蜥蜴尾”木馬的ELF可執(zhí)行模塊包括distillery、plugins及redbean三個(gè)主要部分。只要手機(jī)受其感染,這些插件能夠在受感染的手機(jī)中執(zhí)行遠(yuǎn)程服務(wù)端指令、惡意扣費(fèi)、短信攔截監(jiān)控、下載和更新插件、后臺(tái)通話等潛在惡意行為,泄露受感染手機(jī)用戶的隱私,尤其是對(duì)流量安全有極大的危害,能在手機(jī)用戶毫無察覺的情況下通過下載插件、訂購業(yè)務(wù)等手段造成手機(jī)流量的大量流失,給用戶造成經(jīng)濟(jì)上的損失。

圖4:“蜥蜴尾”木馬感染地域分布

    360手機(jī)安全專家指出,“蜥蜴尾”木馬感染的手機(jī)幾乎涵蓋所有主流機(jī)型,Android4.0.3以上系統(tǒng)成為感染重災(zāi)區(qū),手機(jī)用戶一定要通過正規(guī)渠道下載安裝App應(yīng)用,同時(shí),安裝專業(yè)的安全軟件,開啟安全監(jiān)控。如果手機(jī)已經(jīng)刷過第三方ROM或者手機(jī)已經(jīng)Root,360手機(jī)安全專家建議手機(jī)用戶采用360手機(jī)急救箱進(jìn)行一次完整的深度掃描,查殺“蜥蜴尾”木馬,保證手機(jī)使用安全。


掃碼關(guān)注5G通信官方公眾號(hào),免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場(chǎng)景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測(cè)試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國移動(dòng):6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國移動(dòng)算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

      最新招聘信息