繼央視新聞曝光全球首個(gè)安卓手機(jī)木馬“不死木馬”后,近日,央視經(jīng)濟(jì)半小時(shí)再次對(duì)“不死木馬”的發(fā)現(xiàn)、傳播及危害做了深度報(bào)道。與以往木馬不同,“不死木馬”被寫入手機(jī)磁盤引導(dǎo)區(qū)后,很多殺毒軟件均無法徹底將其清除。為此,360手機(jī)衛(wèi)士提醒廣大安卓手機(jī)用戶,如發(fā)現(xiàn)手機(jī)出現(xiàn)奇怪軟件,即有可能已感染該病毒,應(yīng)盡快對(duì)手機(jī)進(jìn)行安全檢查,避免木馬入侵帶來的個(gè)人信息和經(jīng)濟(jì)損失。
據(jù)報(bào)道,“不死木馬”是在手機(jī)流通和銷售的某個(gè)環(huán)節(jié)被人手工刷入手機(jī)中,再將帶病毒的手機(jī)賣給消費(fèi)者。感染木馬的手機(jī)會(huì)自動(dòng)下載大量色情軟件,即使手動(dòng)刪除,手機(jī)重啟后,病毒仍會(huì)“復(fù)活”。病毒木馬一經(jīng)安裝,便會(huì)竊取手機(jī)用戶隱私、自行后臺(tái)定制服務(wù)扣費(fèi)、消耗手機(jī)流量,甚至發(fā)送詐騙短信等,給感染木馬的用戶帶來極大的安全隱患。
不死木馬牽出十億刷機(jī)黑色產(chǎn)業(yè)鏈
該木馬的出現(xiàn),牽出了國內(nèi)一個(gè)制造手機(jī)木馬、刷入手機(jī)木馬、將帶毒手機(jī)出售給消費(fèi)者的龐大神秘黑色產(chǎn)業(yè)鏈。
此前一直有報(bào)道稱某些IT賣場(chǎng)的商家會(huì)將手機(jī)木馬植入手機(jī)中,但由于手機(jī)木馬也可以通過網(wǎng)絡(luò)傳播進(jìn)行遠(yuǎn)程攻擊,所以并未抓到確鑿證據(jù)。而此次360捕獲的“不死木馬”則和之前的不同。
據(jù)360手機(jī)安全專家朱翼鵬分析,“不死木馬”被植入手機(jī)磁盤引導(dǎo)區(qū)有兩種方法:
1)攻擊者曾物理地接觸到被感染手機(jī),并將包含了惡意文件的boot。img鏡像文件刷到設(shè)備的boot分區(qū)中;
2)在系統(tǒng)運(yùn)行期間,獲得root權(quán)限之后,通過dd工具將惡意文件強(qiáng)行地寫入到磁盤的boot分區(qū)中。
手機(jī)感染“不死木馬”(oldboot)
但目前所有的證據(jù)都支持第一種可能性。首先,360得到的受害者被感染手機(jī)樣本購買于中關(guān)村的某大型IT賣場(chǎng),并非購買于官方渠道。
其次,被感染設(shè)備(三星Galaxy Note II)安裝了Samsung官方的系統(tǒng),其中的普通系統(tǒng)軟件均包含有效的Samsung官方簽名,但是recovery分區(qū)已經(jīng)被替換為一個(gè)第三方的ROM。此外,boot分區(qū)下的所有文件都擁有相同的時(shí)間戳。
最后,基于360的云安全技術(shù),所有被感染設(shè)備的型號(hào)中,超過一半都不是流行的大眾機(jī)型。而如果采用第二種攻擊方法進(jìn)行遠(yuǎn)程感染,目標(biāo)是隨機(jī)不可控的,被感染設(shè)備型號(hào)分布應(yīng)該更接近于Android設(shè)備的市場(chǎng)分布情況。
所以,可以斷定,“不死木馬”是在手機(jī)的流通和銷售的某個(gè)環(huán)節(jié),被人手工刷入手機(jī)中,再將帶毒手機(jī)賣給消費(fèi)者的。
而據(jù)360手機(jī)衛(wèi)士統(tǒng)計(jì),目前國內(nèi)感染該木馬的手機(jī)超過了50萬臺(tái)。那么,是誰制造了這個(gè)木馬?是誰將木馬刷入了受害者的手機(jī)中?有多少人參與了這條“黑色產(chǎn)業(yè)鏈”?有多少受害者還在被暗中“吸費(fèi)”?。
據(jù)360手機(jī)安全專家朱翼鵬介紹,保守估計(jì)國內(nèi)年水貨手機(jī)銷量近2000萬部,龐大的水貨市場(chǎng)衍生出了刷機(jī)產(chǎn)業(yè)鏈,但已知的刷機(jī)主要以刷應(yīng)用軟件,賺取推廣費(fèi)為主,按照每部50元計(jì)算,保守估計(jì)這個(gè)產(chǎn)業(yè)鏈最少是10億級(jí)別。
比如,深圳水貨手機(jī)入關(guān)后,立刻就會(huì)淹沒在刷機(jī)產(chǎn)業(yè)鏈中,大部分人拿到手的手機(jī)已經(jīng)預(yù)裝各類軟件應(yīng)用。一部從深圳華強(qiáng)北流出來的手機(jī),到消費(fèi)者手中時(shí),也許已被刷過五六次,每次刷機(jī),大水貨批發(fā)商、小一級(jí)批發(fā)商以及全國水貨網(wǎng)點(diǎn)都會(huì)把各種軟件刷入,并向軟件開發(fā)商收預(yù)裝費(fèi)。一般來說,一個(gè)軟件收取1元到10元不等。
而此次出現(xiàn)的“不死木馬”,單個(gè)木馬感染量高達(dá)50萬,可以預(yù)計(jì),未來將會(huì)出現(xiàn)更多這種人工刷入手機(jī)磁盤引導(dǎo)區(qū)的木馬,對(duì)消費(fèi)者資費(fèi)安全造成嚴(yán)重威脅。
面對(duì)此類安全隱患 消費(fèi)者如何防范?
在360手機(jī)衛(wèi)士最新版進(jìn)行查殺之外,360手機(jī)安全專家還建議:
定期更新360手機(jī)衛(wèi)士,及時(shí)查殺“不死木馬”后續(xù)變種;
在專殺工具檢測(cè)到“不死木馬”后,將機(jī)型信息和樣本上報(bào)給我們,可以幫助我們更好地發(fā)現(xiàn)新的變種,保衛(wèi)更多用戶的手機(jī)安全;
由于只有系統(tǒng)被篡改的手機(jī)設(shè)備才會(huì)感染“不死木馬”,如果使用360專殺工具檢測(cè)到“不死木馬”,您也可以直接聯(lián)系手機(jī)的經(jīng)銷商,協(xié)商售后事宜;
此外,360手機(jī)安全專家表示,“不死木馬”通過物理接觸或磁盤操作將自身寫入boot分區(qū),并改寫init。rc腳本,是一個(gè)具有標(biāo)志性意義的手機(jī)木馬。這種攻擊技術(shù)可能在將來被其他木馬所使用,造成安卓反病毒事業(yè)上下一輪艱難的攻防對(duì)抗。