4月6日消息,AVG中国实验室监测到了DroidKongFu的最新升级版本——“暗影杀手”。经过此番武力升级,其手段暴增,可直接利用用户获取Root权限后的弊端,篡改内核系统文件,至此常年潜伏于暗处,让用户的手机受到持久性创伤,可谓又阴又狠。
“暗影杀手”利用root权限,修改系统引导项,以此来获得更早的加载,备份系统文件“debuggerd”、“vold”,并将其替换,借此深植至系统内核。这一方式增加了安全工具对其检测及清除的难度。相比较于PC系统的bootkit病毒,“暗影杀手”还处于早期阶段。他获得boot启动的方式是较容易的。PC下的bootkit则要修改内核代码才能获得二次控制权限,为后面的加载恶意驱动做准备,同时恶意驱动还会再保护boot代码。“暗影杀手”并没有对自身的boot代码的保护,但这点并不难于编程实现。所以我们可以预见android系统的bootkit是十分危险的,随着此项技术的披露,今后可能会产生更多的改进攻击方式。
“暗影杀手”藏身于暗处,采取了多种隐藏手段,安装包内暗藏“***.so”库文件,而病毒主要ELF文件又藏身于“***.so”库文件。
库文件读取自身包含的ELF文件数据:
将大量字符加密,包括远程控制指令、部分服务器信息、自身所需变量信息等:
同时,主APK文件还获取了大量敏感信息并发送:
目前已发现大量感染样本包含常用软件及流行游戏,其中不泛有本身就需要ROOT权限的程序,使用户鉴别难度极大增加:
主要危害:
·植入后门,可使用病毒远程操作用户手机(下载、运行、删除…)。
·破坏操作系统内核完整性。
·发送敏感信息,导致用户隐私泄露。
如何防范:
1、 Root手机需谨慎,对待需要Root权限的程序更需谨慎。
2、 针对目前恶意修改应用的情况,用户应尽量去市场下载知名厂商的应用,或直接登录该厂商的官方网站下载。
3、 针对目前中国用户的特殊情况,选择市场亦应选择较为正规的市场去下载应用。
4、 如果您勾选了“未知源”,请谨慎对待您所安装的程序。
5、 对于此类病毒防范重于清理,望广大用户提升安全意识。
如果您只想简单的用好您的手机,并不想思考那么多琐碎的安全细节,您可以直接安装AVG手机反病毒软件。
下载地址及二维码:https://play.google.com/store/apps/details?id=com.antivirus
