5月30日消息,360技术博客发布了一份技术研究报告称,360手机安全中心截获了一批“极其猥琐”的手机恶意程序。这类恶意程序将正版手机APP的apk(安卓APP的安装文件)集成到恶意程序中。在恶意程序运行后,释放并安装正版应用并将自身图标隐藏,利用这种办法迷惑用户,“金蝉脱壳”般躲避手机用户发现和查杀。目前,360手机卫士已揪出背后真正的木马文件——“替死鬼”木马。360手机安全专家建议,发现例如“明星衣橱”之类的应用请尽快使用360手机卫士进行扫描查杀。
报告显示,“替死鬼”木马首先将正版APP和相关配置文件打包到木马程序的“assets”目录下,然后调用PackageManager(系统函数)中的setComponentEnabledSetting方法把自己的com.sysimg.image2.MainActivity禁用掉,这样自身图标会在系统的启动器中消失。随后启动系统安装程序,将正版APP释放并安装进手机。
360手机安全专家通过对比发现,两张截图中的图标一样(如下图红框标注),看不出任何差别,但是他们却是指向不同的程序,左图启动的是恶意样本(启动后隐藏),而右图启动的却是正常程序(被安装APK图标)。此时,恶意程序已经“金蝉脱壳”,隐匿于后台。手机用户对此真假难辨,即使卸载,也是卸载正常的APP。
图1:左图为样本的图标,右图为样本安装的原版APK图标
360手机安全中心分析发现,“替死鬼木马”通过监听手机用户解锁手机、安装或删除APP的操作来激发恶意行为。当木马运行后,手机会在桌面出现大量带有诱惑性的快捷方式,引诱用户点击,一旦点击就会触发下载行为,不但造成上网流量的大量消耗,其下载的程序安全性更不能保证:有可能是危害更为严重的其他木马文件。
图2:“替死鬼”木马会在手机桌面释放大量诱惑性图标诱惑手机用户下载
360手机安全专家指出,这类“替死鬼”木马换个图标、换个正版APK就可批量生产,很容易就能造成大范围传播。因此建议手机用户使用360手机卫士安全防护功能查杀这类木马,并从360手机助手等正规市场下载手机APP。
360手机卫士最新版下载地址:
http://shouji.360.cn
“替死鬼”木马技术研究报告地址:
http://blogs.360.cn/360mobile/2014/05/30/false_scent_apk_file/
