近期,不断有七喜手机用户在微博反映,手机无法正常运行手机安全类应用。360手机安全中心监测发现,七喜手机部分第三方ROM预装了一类可暗中删除手机安全软件的手机木马。该木马通过联网获取恶意指令,还会流氓推广其他应用,消耗手机流量。数据显示,目前该类木马感染应用超过百款,中招用户数量超过1万人次。
360手机安全专家分析发现,该木马通过伪装成系统应用或热门应用植入系统,同时通过调用系统内另外的ELF木马文件实现恶意指令。该文件存在于系统/system/app目录下,每当联网状态改变和开机启动时,恶意服务就会被触发。
该木马首先会联网获取的配置文件,并调用位于系统ROM中的/system/lib/tu.so文件进行静默安装和卸载操作,手机在没有ROOT的情况下,无法删除该文件,更无法阻止木马运行。
分析还发现,该木马具备暗中删除安全软件的行为。会检测系统中是否存在主流手机安全软件,如果已存在会将其删除。
此外,360手机安全中心还监测到,除七喜手机的第三方ROM外,该类木马已感染百款系统应用或热门应用,以下为部分感染的应用:
360手机安全专家建议,未ROOT的手机用户刷机使用其他ROM。同时,已经ROOT的手机用户可以通过360手机卫士云查杀彻底删除木马。或手动删除system/app路径下的choice.apk和choice.odex两个文件,以及system/lib下的tu.so文件。
