ITBear旗下自媒体矩阵:

AVG:“暗影杀手”周末奇袭!DroidKongFu武力升级

   时间:2012-04-06 17:49:16 来源:互联网编辑:星辉 发表评论无障碍通道

4月6日消息,AVG中国实验室监测到了DroidKongFu的最新升级版本——“暗影杀手”。经过此番武力升级,其手段暴增,可直接利用用户获取Root权限后的弊端,篡改内核系统文件,至此常年潜伏于暗处,让用户的手机受到持久性创伤,可谓又阴又狠。

“暗影杀手”利用root权限,修改系统引导项,以此来获得更早的加载,备份系统文件“debuggerd”、“vold”,并将其替换,借此深植至系统内核。这一方式增加了安全工具对其检测及清除的难度。相比较于PC系统的bootkit病毒,“暗影杀手”还处于早期阶段。他获得boot启动的方式是较容易的。PC下的bootkit则要修改内核代码才能获得二次控制权限,为后面的加载恶意驱动做准备,同时恶意驱动还会再保护boot代码。“暗影杀手”并没有对自身的boot代码的保护,但这点并不难于编程实现。所以我们可以预见android系统的bootkit是十分危险的,随着此项技术的披露,今后可能会产生更多的改进攻击方式。

“暗影杀手”藏身于暗处,采取了多种隐藏手段,安装包内暗藏“***.so”库文件,而病毒主要ELF文件又藏身于“***.so”库文件。

库文件读取自身包含的ELF文件数据:

        将大量字符加密,包括远程控制指令、部分服务器信息、自身所需变量信息等:

        同时,主APK文件还获取了大量敏感信息并发送:

 

       目前已发现大量感染样本包含常用软件及流行游戏,其中不泛有本身就需要ROOT权限的程序,使用户鉴别难度极大增加:

 

 

主要危害

·植入后门,可使用病毒远程操作用户手机(下载、运行、删除…)。

·破坏操作系统内核完整性。

·发送敏感信息,导致用户隐私泄露。

如何防范

1、 Root手机需谨慎,对待需要Root权限的程序更需谨慎。

2、 针对目前恶意修改应用的情况,用户应尽量去市场下载知名厂商的应用,或直接登录该厂商的官方网站下载。

3、 针对目前中国用户的特殊情况,选择市场亦应选择较为正规的市场去下载应用。

4、 如果您勾选了“未知源”,请谨慎对待您所安装的程序。

5、 对于此类病毒防范重于清理,望广大用户提升安全意识。

如果您只想简单的用好您的手机,并不想思考那么多琐碎的安全细节,您可以直接安装AVG手机反病毒软件。

下载地址及二维码:https://play.google.com/store/apps/details?id=com.antivirus

举报 0 收藏 0 打赏 0评论 0
 
 
更多>同类资讯
全站最新
热门内容
网站首页  |  关于我们  |  联系方式  |  版权声明  |  RSS订阅  |  开放转载  |  滚动资讯  |  争议稿件处理  |  English Version