隨著移動端Android系統(tǒng)安全軟件對APP應(yīng)用層查殺能力趨于成熟以及Google對Android安全性的重視,病毒與反病毒的主戰(zhàn)場已逐漸從APP層擴展到Linux系統(tǒng)層。相對于APP應(yīng)用層病毒,系統(tǒng)底層病毒更容易隱藏自己,也更容易對抗安全軟件,其危害性更大,更不容易查殺。而且病毒作者也開始把PC端的病毒自我保護手段移植到移動端上,在手機端大量使用了免殺、加密、隱藏、反虛擬機、感染等傳統(tǒng)PC端病毒的自我保護技術(shù)。
但是病毒始終是要暴露出行為,只要暴露行為就有辦法找到查殺方法。并且病毒傳播總也需要途徑,因此,360安全中心給出以下幾條建議:不要下載安裝不受信任的軟件;不要隨便找個刷機網(wǎng)站就開始刷機;中了新型的病毒及時向360安全中心反饋,以免遭受更大的損失。
2015年,360互聯(lián)網(wǎng)安全中心平均每天截獲新安卓系統(tǒng)底層病毒上萬個,全年感染用戶量超過400萬人次。這一年,360互聯(lián)網(wǎng)安全中心發(fā)現(xiàn)了多種傳播迅速并且對手機危害極大的系統(tǒng)底層病毒,極具代表性的有“蜥蜴之尾”、“百腦蟲”、“萬藍”以及新版“權(quán)限殺手”等。此類病毒主要通過內(nèi)置ROM、惡意應(yīng)用進行瘋狂傳播。經(jīng)過分析后,360互聯(lián)網(wǎng)安全中心盤點了2015年度最為流行的10大手機Android系統(tǒng)底層病毒。
圖1 2015年度10大手機底層病毒感染量總覽圖
TOP 1
——“百腦蟲”木馬
感染用戶:119.5萬
危險指數(shù):★★★★★
威脅:推廣APP、訂閱扣費服務(wù)、關(guān)閉安全軟件、難卸載、反虛擬機
詳細分析地址:http://blogs.#/360mobile/2016/01/06/analysis_of_bainaochong/
病毒簡介:
百腦蟲病毒于2015年下半年開始爆發(fā),期間,360移動安全中心不斷收到用戶反饋:手機出現(xiàn)莫名下載安裝其他應(yīng)用以及自動訂閱扣費業(yè)務(wù)等問題。
百腦蟲病毒主要在一些第三方電子市場或某些色情類網(wǎng)站進行瘋狂傳播。該病毒方便被不同APK打包調(diào)用,再加上嵌入的主要是一些熱門應(yīng)用,因此傳播迅速,感染量已超百萬。當(dāng)病毒感染手機后,會根據(jù)不同的手機系統(tǒng)進行提權(quán)并阻止其他軟件獲取root權(quán)限,病毒還會檢測運行環(huán)境以保護自己。受感染的手機會出現(xiàn)自動安裝APP、自動訂閱扣費服務(wù)等癥狀,手機還原出廠設(shè)置也無法解決問題。
圖2 嵌入百腦蟲病毒的色情類應(yīng)用
圖3 嵌入百腦蟲病毒的非官方應(yīng)用
評級理由:涉及“百腦蟲”木馬的應(yīng)用種類眾多,包含色情類應(yīng)用、高人氣應(yīng)用等。一旦用戶抵擋不住非法網(wǎng)站發(fā)布的色情類應(yīng)用的誘惑或安全意識薄弱通過非官網(wǎng)下載高人氣應(yīng)用都可能被中招。“百腦蟲”木馬的扣費邏輯實現(xiàn)模塊在云端,通過云端策略不定時下發(fā)到被感染機器,達到實時更新扣費模塊、隱藏惡意罪行、長期可持續(xù)扣費的目的。
TOP 2
——“蜥蜴之尾”木馬
感染用戶:95.6萬
危險指數(shù):★★★★★
威脅:感染系統(tǒng)庫文件、替換系統(tǒng)文件、注入系統(tǒng)進程、竊取用戶信息、監(jiān)聽通話與短信、訂閱扣費服務(wù)
詳細分析地址:http://blogs.#/360mobile/2015/11/16/analysis_of_fakedebuggerd_d/
病毒簡介:
“蜥蜴之尾”木馬是“長老木馬”三代的進化版。主要惡意行為由三代的推廣APP演變?yōu)楸O(jiān)聽電話短信、訂閱SP扣費服務(wù)等。據(jù)有些用戶反饋,單月扣費金額達數(shù)百元。
下圖為360互聯(lián)網(wǎng)安全中心病毒分析人員與受感染用戶聊天的部分記錄。
圖4 與感染用戶的部分聊天記錄
下圖為感染用戶向用戶反饋的未經(jīng)用戶許可訂閱的收費服務(wù)清單。
圖5 實際感染用戶反饋的收費服務(wù)清單截圖
評級理由:“蜥蜴之尾”木馬當(dāng)之無愧是可以衡量2015年度手機底層病毒技術(shù)發(fā)展水平的最為典型的木馬。該木馬的核心技術(shù)突破及威脅體現(xiàn)在以下方面。
技術(shù)方面:
1. 對抗安全軟件:在移動安全領(lǐng)域首次采用了靜態(tài)感染技術(shù),感染系統(tǒng)運行依賴的庫文件,加大了查殺難度。此外,還采用相似文件路徑欺騙法、 樣本MD5自變化等傳統(tǒng)PC端的病毒技術(shù)。
2. 自我保護:采用AES對稱加密算法、自定義算法加密了所有相關(guān)插件、配置文件、數(shù)據(jù)庫等。雖然AES加密算法已被很多病毒木馬所采用,并不稀奇,但是隱藏解密所必須的public key的方法非常獨特。不但每個插件、配置文件、數(shù)據(jù)庫解密需要的publickey都不同,而且public key本身又以加密的形式寫入到其他正常文件的尾部或加密數(shù)據(jù)文件的指定位置,加大了分析人員逆向分析的難度。
威脅方面:
1. 后臺監(jiān)聽:云端即木馬作者可以不定時下發(fā)“后臺監(jiān)聽”指令來建立遠程通訊,實現(xiàn)遠程監(jiān)聽用戶的隱私,給用戶隱私帶來極大的威脅。
2. 惡意扣費:云端即木馬作者不定時下發(fā)“訂閱”指令,指令參數(shù)包含商品名稱、收費金額、SP計費點及訂閱網(wǎng)點。木馬收到指令后根據(jù)參數(shù)內(nèi)容到指定SP網(wǎng)點“自動辦理”訂閱服務(wù)并屏蔽訂閱回饋短信。因木馬惡意扣費非常隱蔽且一般一次性扣費的金額較少,很多受害用戶過了一段時間才察覺自己手機可能是中招。
3. 隱私采集:云端可以下發(fā)“短信采集”、“基本信息采集”等指令獲取用戶敏感信息以進行再次獲利。如果犯罪分子成功獲取到這些數(shù)據(jù)對于用戶來說意味著非常可怕的后果。比如短信包含很多與熟人相關(guān)數(shù)據(jù),非法分子可以以“借錢”等為由向用戶的熟人發(fā)送短信,危及到受感染用戶周圍的親朋好友,其危害程度不言而喻。
TOP 3
——“FakeDebuggerd”木馬
感染用戶:77.8萬
危險指數(shù):★★★★☆
威脅:偽裝系統(tǒng)進程,靜默推廣其他應(yīng)用,造成手機運行變慢、流量損失、手機耗電快,甚至可能傳播其他木馬病毒。
病毒簡介:
從幾年前發(fā)現(xiàn)長老木馬,一直到現(xiàn)在,”FakeDebuggerd”家族都非常活躍。雖然技術(shù)上沒什么亮點,但是這種病毒實現(xiàn)方式簡便,成功率高,因此被很多不法分子利用。
Android系統(tǒng)把debuggerd做為守護進程,進程終止后,系統(tǒng)會立刻重新啟動。木馬利用這一點,替換debuggerd文件來達到自我保護的目的。即使查殺了木馬APK,”FakeDebuggerd”也可以從/system/bin/debuggerd文件尾部將所有被刪除的文件重新釋放。有了“FakeDebuggerd”的保護,其他木馬就可以明目張膽的扣費、推廣APP或者竊取用戶隱私了。
FakeDebuggerd Android rootkit詳細分析地址:http://blogs.#/360mobile/2014/03/06/fakedebuggerd-android-rootkit/
長老三詳細分析地址:http://blogs.#/360mobile/2014/11/24/analysis_of_fakedebuggerd_c_and_related_trojans/
評級理由:
病毒自身的扣費、推廣、彈廣告等惡行就已經(jīng)夠讓人深惡痛絕了,在“FakeDebuggerd”的保護下,各種木馬更加的肆無忌憚。雖然“FakeDebuggerd”自身替換debuggerd的惡行不會給用戶帶來明顯的困擾,但是它為其他木馬病毒提供了生存的溫床,危害程度不容小覷。
TOP 4
——“幽靈推”相關(guān)底層模塊
感染用戶:58.3萬
危險指數(shù):★★★★
威脅:替換系統(tǒng)文件、推廣APP、訂閱扣費服務(wù)
病毒簡介:
該木馬偽裝常用應(yīng)用,經(jīng)由googleplay等應(yīng)用市場傳播(已下架),通過靜默提權(quán)方式,以root權(quán)限向系統(tǒng)植入底層病毒。
該模塊屬于“幽靈推”底層模塊,在病毒上層應(yīng)用釋放提權(quán)模塊并且提權(quán)成功后,該模塊開始部署惡意插件。木馬通過執(zhí)行chattr命令鎖定惡意文件,阻止被刪除,達到自我保護的目的,通過修改install-recovery.sh系統(tǒng)文件,達到開機啟動的目的。
評級理由:
正如他的名稱一樣,這個病毒會像幽靈一樣威脅著用戶的利益,難以擺脫。木馬通過防止刪除,替換系統(tǒng)文件,開機自啟的方式來保護自己。
TOP 5
——“權(quán)限殺手”木馬
感染用戶:50.1萬
危險指數(shù):★★★★
威脅:ROM內(nèi)置、對抗安全軟件、監(jiān)聽短信、彈廣告、推廣、刷流量
詳細分析地址:http://blogs.#/360mobile/2015/06/29/analysis_of_pkiller/
病毒簡介:
自2013年以來,ROM級內(nèi)嵌手機病毒“權(quán)限殺手”通過不斷更新變種,已經(jīng)成功植入接近300個ROM在一些刷機市場大肆傳播,導(dǎo)致國內(nèi)多達50萬用戶遭受影響。
該病毒試圖通過刪除其他應(yīng)用獲取系統(tǒng)ROOT所使用的關(guān)鍵文件來對抗安全軟件,在自以為安全的情況下,開始實施彈廣告、監(jiān)聽短信、推廣軟件等惡行。病毒服務(wù)器會根據(jù)手機信息分發(fā)指令,為了提高存活率,病毒甚至將APK要操作的底層文件的文件名放入云端,切斷了APK與底層文件的直接關(guān)聯(lián),從而增加查殺的難度。
評級理由:刪除手機授權(quán)管理文件,阻止其他應(yīng)用獲取root權(quán)限,企圖實現(xiàn)自己在系統(tǒng)權(quán)限中的絕對霸主地位,危險程度極高。
TOP 6
——“Andam”木馬
感染用戶:25.7萬
危險指數(shù):★★★☆
威脅:自我保護、執(zhí)行云端下發(fā)指令、推廣APP
病毒簡介:
該木馬技術(shù)含量較低,其主要目的為運行后訪問云端獲取應(yīng)用下載列表,進行惡意推廣。同時監(jiān)控自身相關(guān)文件變化,防止自身被安全軟件清除。
評級理由:病毒文件被刪除具有回寫功能,后臺一直聯(lián)網(wǎng)檢測下載任務(wù),靜默安裝APP應(yīng)用。雖然該木馬技術(shù)含量很低,但是消耗移動流量、感染量大、潛在危害大。
TOP 7
——“糖果”木馬
感染用戶:23.8萬
危險指數(shù):★★★☆
威脅:偽裝系統(tǒng)文件、上傳用戶隱私、靜默推廣APP
病毒簡介:該木馬以插件形式內(nèi)嵌到“聚折扣”、“手機散熱大師”、“KMPlayer”等二次打包的應(yīng)用中,迷惑不明真相的用戶下載安裝。用戶一旦打開這些應(yīng)用,木馬就會被釋放到系統(tǒng)/system/bin目錄,偽裝成zprop、boot_logo_updater等,并在用戶/data等目錄植入自己的數(shù)據(jù)文件。該木馬具有下載、啟用應(yīng)用、刪除應(yīng)用、終止進程的功能,在用戶不知情的情況下,進行APP推廣獲利。
評級理由:偽裝系統(tǒng)文件實現(xiàn)開機啟動,上傳用戶隱私信息造成信息泄露,支持多種指令,可以靜默卸載、安裝、啟動、禁用各種應(yīng)用,潛在危害大。
TOP 8
——“萬藍”木馬
感染用戶:10萬
危險指數(shù):★★★
威脅:ROM內(nèi)置、執(zhí)行云端指令、推廣APP
詳細分析地址:http://blogs.#/blog/analysis_of_wland/
病毒簡介:
2015年5月中旬,360安全中心收到用戶反饋,手機經(jīng)常自動安裝新的游戲應(yīng)用。經(jīng)分析排查發(fā)現(xiàn),一款名為“萬藍”的ROM級手機木馬正向用戶伸出魔爪,通過靜默推廣以牟取利益。
“萬藍”擁有一套完整的體系結(jié)構(gòu),包括指令的下發(fā),系統(tǒng)的檢測以及版本的更新。通過嚴謹?shù)倪\行邏輯來保證自身的隱秘性和穩(wěn)定性,通過多達40個命令類型來保證自身功能的完整,通過從云端下載腳本推廣的應(yīng)用軟件多達數(shù)十個。該木馬主要通過植入為夏新、聯(lián)想、小采等手機開發(fā)的三方ROM,在刷機網(wǎng)站進行傳播。
圖6 某知名刷機網(wǎng)站上發(fā)現(xiàn)的“萬藍”病毒
評級理由:我們經(jīng)過大量測試分析發(fā)現(xiàn)很多刷機網(wǎng)站對于ROM收錄流程的安全驗證并不嚴謹,導(dǎo)致收錄了很多包含惡意代碼的ROM文件。到目前為止,惡意樣本主要是植入為夏新、聯(lián)想、小采等手機開發(fā)的三方ROM進行傳播。即使安全意識較高的用戶看到知名刷機網(wǎng)站的安全驗證通過提示,很容易會降低警覺性并中招,真是防不勝防。“發(fā)燒友”們刷機時還真不能盲目相信官方給出的安全驗證通過提示。
TOP 9
——“FakeSysCmd”木馬
感染用戶:7.7萬
危險指數(shù):★★☆
威脅:偽裝系統(tǒng)文件、盜竊用戶隱私、惡意推廣、對抗安全軟件
病毒簡介:該木馬家族偽裝替換pm、adb_server、sz等系統(tǒng)命令。比如pm,是系統(tǒng)的軟件包管理程序,木馬替換該程序后,可以監(jiān)控并自行安裝卸載APP,甚至禁用安全軟件。
我們還發(fā)現(xiàn)了病毒的一些保護措施,比如在使用pm的時候,替換成mp,企圖掩蓋其惡意行為,干擾分析。此手法著實低端,不過由此也看到了病毒的一些發(fā)展趨勢——將自己隱藏到系統(tǒng)命令中,甚至替換系統(tǒng)命令,由病毒自己啟動系統(tǒng)命令。
評級理由:此類病毒目前還是襁褓中的惡靈,功能簡單,容易實現(xiàn),還未發(fā)揮其真正的實力,一旦不懷好意的人掌握了更高級的技術(shù),可能會給手機用戶造成更大的損害。并且其替換的是系統(tǒng)命令,影響嚴重,感染量大,可能成為病毒發(fā)展的一大方向。
TOP 10
——“asshole”木馬
感染用戶:3.8萬
危險指數(shù):★★
威脅:靜默提權(quán)、盜竊用戶隱私、流氓推廣。
病毒簡介:木馬作者惡意利用開源root框架,二次打包編譯后以插件形式將病毒嵌入到常用軟件或色情軟件中,借助軟件市場或色情網(wǎng)站傳播。據(jù)360安全中心監(jiān)控到的數(shù)據(jù),該木馬經(jīng)常偽裝成“搶票神器”、“流量統(tǒng)計”、“午夜看看”等。用戶一旦使用這些軟件,這個木馬程序就會植入系統(tǒng)目錄并在用戶不知情的情況下,拿到手機root權(quán)限,從網(wǎng)絡(luò)下載其他木馬或惡意軟件,危害極大。
圖7 “asshole”嵌入的正常應(yīng)用
圖8 “asshole”嵌入的色情應(yīng)用
評級理由:可以理解作者渴望被關(guān)注的心情,不然也不會起這么個名字。不僅僅是病毒流氓,作者自身也是博學(xué)多才,這么生僻的詞匯都能想到。利用正常的開源框架來實現(xiàn)惡意功能是挺有新意的,在引起關(guān)注這一點上,作者算是成功了。