推广 - 传媒 2016-01-12T16:23:26 +08:00

360手机卫士发2016年黄色预警:80万手机染毒遭扣费

2015年末,360手机安全中心收到大量用户反馈,手机中被莫名下载安装其他应用、自动订阅扣费业务等问题。经跟踪发现,这些用户中招的是一个名为“百脑虫”的手机木马,该木马通过嵌入热门应用传播,360手机卫士安全专家建议手机用户:尽量选择正规应用平台下载软件,不要随意下载色情主题应用。目前,手机用户可通过360手机卫士的手机急救全面查杀该木马。

专挑 “色情”“热门”应用下手  感染量超80万  

为了成功入侵用户手机,“百脑虫”专挑高人气游戏类应用和色情视频类应用下手,以插件的形式嵌入,然后通过网盘、论坛或某些色情类网站进行传播。通过这种方式,“百脑虫”木马的感染量已经超过80万。

图1:“百脑虫”木马专挑热门应用嵌入

360手机卫士安全专家分析发现,被恶意植入“百脑虫”木马的手机应用达数百种,尤以色情类应用和热门游戏居多。其中被植入木马的“禁播视频”手机应用不仅恶意推广其他应用,还会未经允许后台偷偷订阅扣费业务给用户造成话费损失。由于“禁播视频”运行时会屏蔽“成功订阅服务”、“验证码”等扣费相关敏感短信,用户难以第一时间察觉。

四大伪装术对抗安全软件

随着手机安全软件的升级,手机木马也在不断“进化”。首先,“百脑虫”木马在进入用户手机后,会判断用户手机是否处于root状态,如果不是,就会通过云端下载与用户机型和系统版本相应的root提权文件。在获得提权文件的同时,“百脑虫”还会将自身的核心模板复制到系统文件夹下,使用户无法通过正常方法卸载此应用。

其次,“百脑虫”会针对手机中安全软件随时调整是否进行下一步操作,并会强制中止手机安全软件的运行。

图2:“百脑虫”木马执行过程

再次,而为了更好地隐藏自己,“百脑虫”核心模块几乎所有的字符串都做了加密处理,并在执行过程中以动态解密的方式执行。

此外,“百脑虫”木马还会自行判断是否处于安全厂商沙箱环境中,如果是,则直接退出不做进一步行为。这种方式导致安全厂商通过沙箱模拟很难全面分析手机木马的恶意行为,具有极高隐蔽性。

删了也能自动重装  杀不死的“百脑虫”

Core模块是“百脑虫”木马的核心模块,通过驻留在手机系统,实现下载推广应用的恶意行为,并可以通过注册receiver实现随系统开机或网络状态改变时启动,还设置了时间周期,每隔一个小时,便连接木马服务器下载应用执行,并对下载的文件进行备份,一旦发现被删除卸载则重新安装。

图3:“百脑虫”木马可备份以便重新安装

Core初始化完毕后,就会将手机imsi、木马当前版本、当前木马运行时间间隔、是否为内置rom、木马运行环境是否安全、已安装的应用列表、已经下载的JAR包上传给远程服务器,云端根据传回的信息选择返回内容,一旦配置信息将返回的APK安装设置成系统应用,一般用户基本不可能手动将其清理。

手机安全专家提醒:提高安全意识 及时查杀“百脑虫”

图4:360手机急救箱查杀“百脑虫”

目前,360手机急救箱已实现对该木马的查杀与修复。360手机卫士安全专家指出,“百脑虫”木马可以大范围传播的主要原因之一是由于用户的安全意识薄弱。对此,专家建议手机用户:

1.       不要随意下载安装色情类手机应用;

2.       下载手机应用时尽量通过正规第三方平台或应用官方网站,避免点击不明链接或扫描来源不明的二维码进行下载安装;

3.       当发现手机出现非自主下载应用、话费异常等状况,立即通过安全软件对手机进行安全检查;

4.       安装360手机卫士、360手机急救箱等安全软件实时保护手机安全。

360手机卫士下载地址: https://shouji.360.cn/

360手机急救箱下载地址:https://jijiu.360.cn/

详细分析报告地址:https://zt.360.cn/1101061855.php?dtid=1101061451&did=1101560810  

相关话题

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,文章为企业广告宣传内容,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

推荐关键词

24小时热搜

查看更多内容

大家正在看