2013年,ROM級手機木馬 “權限殺手”曝光,該木馬通過刪除其他應用獲取系統ROOT所使用的關鍵文件,阻止其他應用刪除。360云數據分析顯示,該木馬在近一年多的時間持續活躍,并且在2015年上半年突然爆發,感染超過30萬人。
“權限殺手”木馬內嵌在手機ROM中通過刷機網站快速傳播,此外還包括部分水貨手機用戶,到目前為止,國內受影響用戶達50萬之多,其中超過60%是近半年內新受到感染的用戶。此外,國內刷機市場累計有接近300 個ROM預置了該木馬,數量還在進一步增加,其中超過80%的ROM是今年上半年發布的。
圖一:預置“權限殺手”手機木馬的ROM分布趨勢圖
據統計,這些ROM主要影響的手機品牌包括三星、聯想、華為、小米、HTC等,幾乎涵蓋了所有市場主流的Android手機品牌。除了主要感染國內用戶外,全球范圍的手機用戶也有感染的跡象,對國外用戶的感染主要集中在三星品牌的手機中,國際用戶感染最嚴重的出現在印尼和土耳其地區。國內用戶感染最嚴重的地區出現在兩廣地區,該地區也是國內水貨手機和刷機用戶最集中的地區。
“權限殺手”會刪除手機的授權管理文件,阻止其他應用獲取ROOT授權,保證自身不被安全應用刪除,同時進行下載、推廣、刷流量、發送短信、屏蔽短信、添加書簽等惡意行為。該木馬通過三個模塊相互配合作惡, PageViewer主要功能是接收云端命令并發布命令給Searchcone,同時還會盜取用戶的一些固件信息;Searchcone主要功能是接受命令并且執行,并刪除系統授權管理文件;PageViewer還會下載安裝主要盈利模塊(Markserv),Markserv通過刷流量、推廣軟件等廣告行為盈利。
圖二:“權限殺手”手機木馬作惡流程
不可忽視的一點是,最新版本的“權限殺手”,已經將管理模塊和執行模塊之間的關聯完全切斷,將一個惡意程序拆分成兩部分,管理模塊通過云端獲取到執行模塊的位置,而大大降低了安全軟件對執行模塊的查殺率。管理模塊在應用層開發,這樣開發成本低,更新換代快,也大大提高了該木馬的生存機會。
更為嚴重的是,“權限殺手”主要通過主流的刷機網站進行傳播,據調查結果看到,刷機網站對ROM安全問題的把控能力不容樂觀,此次內嵌該木馬的上百個ROM文件幾乎都同時打上了安全認證的標簽,使得用戶放松了警惕,這也是造成該木馬流行傳播的主要原因。
圖三:360手機急救箱查殺“權限殺手”木馬及其變種
2014年8月360手機安全中心數據顯示,平均每十個刷機包中就有一個刷機包含有惡意程序,最多一個刷機包包含高達8款惡意程序,今年以來,與“權限殺手”類似的ROM級手機木馬仍然呈高速增長趨勢。360手機安全專家建議一定要從官方渠道購買手機并盡量從官方指定的渠道獲取手機ROM。目前,360手機急救箱全面支持“權限殺手”木馬所有變種的查殺與修復,如果手機用戶經常遇到無故損失流量、扣費等問題,一定要盡快查殺手機惡意程序。
詳細分析地址:http://blogs.360.cn/360mobile/2015/06/29/analysis_of_pkiller/
360手機急救箱下載地址:http://www.360.cn/jijiuxiang/
