2013年度八大高危手机木马排行榜(2)
(五) 具有三层防查杀能力的Android木马
2013年6月,360互联网安全中心截获了一款“Backdoor.AndroidOS.Obad.a”的恶意程序。该木马的主要行为是偷发送短信为手机定制扣费业务,并下载更多的恶意程序。。此外,为了在短时间内感染更多设备,已被感染的手机还会被控制自动搜索其他蓝牙设备,发送恶意程序并远程执行木马命令进行安装。
而特别值得注意的是,该木马具备“反查杀,难解析,难卸载”等特性,是迄今为止发现的结构最复杂的Android木马。其独特之处在于,该木马具备的三层防查杀特性,使该木马不仅很难被发现,而且极难被卸载。此外,该木马还利用Android系统自身漏洞,将其注册为设备管理器且在列表中不显示,最终使木马程序无法关闭和卸载,使被感染的手机始终处于安全风险之中。
下图为该木马在手机上的信息和被手机卫士拦截的情况截图。可以看出,该木马即无法被强行停止,也无法被直接卸载。
不仅如此,该木马还利用了Android系统存在的另一种缺陷。使得该木马即便以一种错误的方式注册进设备管理器,Android系统也能让其注册成功,而用户却无法找到取消该木马管理权限的入口,此时木马便可随意在被感染手机中作恶。
(六) 最耗流量木马“尸潮”
2013年7月2日,360互联网安全中心截获到一批恐怖的“尸潮”木马最新变种。该变种伪装成超过12000款热门手机应用进行传播,如“疯狂猜图”、“百度魔图”、“超音速飞行中文版3D”等。一旦安装这些被感染的应用,黑客就可随时通过远程操控,让手机在后台下载未知应用,大量消耗手机上网流量。 “尸潮”是迄今为止消耗流量最多的手机木马。
(七) “扣费黑帮”系列木马
2013年8月15日,360互联网安全中心发布橙色预警,一批名为“扣费黑帮”的恶意扣费手机木马正在蔓延,感染软件数量高达惊人的5000余款。这类木马可使黑客远程操控中招手机所发送的短信内容,让中招手机不仅发送扣费短信,而且还会向亲友群发诈骗短信、广告信息等,使手机成为庞大的诈骗短信“肉鸡”手机群。
“扣费黑帮”系列木马还具备少见的“反侦查”机制:该木马入侵手机后会首先检测手机中是否安装了安全软件,如果这些安全软件处于运行状态,则“扣费黑帮”不会触发恶意行为,隐蔽性和自我保护能力极强。
(八) 不死木马,最难清除的手机木马
2013年12月,有用户向360互联网安全中心反馈手机中有“杀不掉”的木马。据用户描述,他刚购买的手机经常莫名其妙地出现大量自己没有安装过的软件,消耗了大量流量,造成话费损失。该用户使用360手机卫士进行杀毒,发现手机中有三个预装的木马。但问题是,在清除这些木马之后,每次重新启动手机之后,又会出现同样的象,并再次检测出木马。
随后,360互联网安全中心对该用户的手机内进行了检测,在该用户手机内捕获到全球首个被写入Boot分区的手机木马,并将其命名为“不死木马”(英文命名为Oldboot)。这是目前已知的最难清除的手机木马,目前在国内的手机感染量已经超过50万部。
目前该木马的主要行为是频繁联网,下载大量推广软件,造成流量话费损失并将手机电量迅速耗尽。此外,通过对该木马的代码分析还发现,该木马还拥有卸载其他软件和劫持短信发送给任意手机号的功能。
由于该木马被写入了手机磁盘引导区,因此,清除木马之后,只要重新启动手机,该木马又会被重新载入。木马病毒感染磁盘引导区的攻击方法在个人电脑领域并不罕见,但在智能手机领域尚属首次被发现。检测显示,目前世面上的绝大多数手机安全软件都无法彻底清除该木马。用户一旦发现手机感染了该木马,需要使用专杀工具才能将其彻底清除。
综合木马特征和用户反馈的情况来看,“不死木马”目前的主要传播方式应该是在手机流通销售的某个环节被人工手动刷入的。
据360手机安全专家朱翼鹏介绍,随着手机支付的普及,针对手机的攻击将取代电脑成为个人信息安全首要威胁。
而面对越来越多的威胁,一款可靠的手机安全软件也成为手机的必备软件。朱翼鹏建议用户安装360手机卫士等安全软件并注意升级,对手机定期体检杀毒,可有效查杀最新的手机木马,避免被“吸费”。另外在选择应用市场进行下载时要尽量选择安全市场,避免使用搜索引擎等渠道下载到未经过安全审核的山寨软件。