2013年,ROM级手机木马 “权限杀手”曝光,该木马通过删除其他应用获取系统ROOT所使用的关键文件,阻止其他应用删除。360云数据分析显示,该木马在近一年多的时间持续活跃,并且在2015年上半年突然爆发,感染超过30万人。
“权限杀手”木马内嵌在手机ROM中通过刷机网站快速传播,此外还包括部分水货手机用户,到目前为止,国内受影响用户达50万之多,其中超过60%是近半年内新受到感染的用户。此外,国内刷机市场累计有接近300 个ROM预置了该木马,数量还在进一步增加,其中超过80%的ROM是今年上半年发布的。
图一:预置“权限杀手”手机木马的ROM分布趋势图
据统计,这些ROM主要影响的手机品牌包括三星、联想、华为、小米、HTC等,几乎涵盖了所有市场主流的Android手机品牌。除了主要感染国内用户外,全球范围的手机用户也有感染的迹象,对国外用户的感染主要集中在三星品牌的手机中,国际用户感染最严重的出现在印尼和土耳其地区。国内用户感染最严重的地区出现在两广地区,该地区也是国内水货手机和刷机用户最集中的地区。
“权限杀手”会删除手机的授权管理文件,阻止其他应用获取ROOT授权,保证自身不被安全应用删除,同时进行下载、推广、刷流量、发送短信、屏蔽短信、添加书签等恶意行为。该木马通过三个模块相互配合作恶, PageViewer主要功能是接收云端命令并发布命令给Searchcone,同时还会盗取用户的一些固件信息;Searchcone主要功能是接受命令并且执行,并删除系统授权管理文件;PageViewer还会下载安装主要盈利模块(Markserv),Markserv通过刷流量、推广软件等广告行为盈利。
图二:“权限杀手”手机木马作恶流程
不可忽视的一点是,最新版本的“权限杀手”,已经将管理模块和执行模块之间的关联完全切断,将一个恶意程序拆分成两部分,管理模块通过云端获取到执行模块的位置,而大大降低了安全软件对执行模块的查杀率。管理模块在应用层开发,这样开发成本低,更新换代快,也大大提高了该木马的生存机会。
更为严重的是,“权限杀手”主要通过主流的刷机网站进行传播,据调查结果看到,刷机网站对ROM安全问题的把控能力不容乐观,此次内嵌该木马的上百个ROM文件几乎都同时打上了安全认证的标签,使得用户放松了警惕,这也是造成该木马流行传播的主要原因。
图三:360手机急救箱查杀“权限杀手”木马及其变种
2014年8月360手机安全中心数据显示,平均每十个刷机包中就有一个刷机包含有恶意程序,最多一个刷机包包含高达8款恶意程序,今年以来,与“权限杀手”类似的ROM级手机木马仍然呈高速增长趋势。360手机安全专家建议一定要从官方渠道购买手机并尽量从官方指定的渠道获取手机ROM。目前,360手机急救箱全面支持“权限杀手”木马所有变种的查杀与修复,如果手机用户经常遇到无故损失流量、扣费等问题,一定要尽快查杀手机恶意程序。
详细分析地址:http://blogs.360.cn/360mobile/2015/06/29/analysis_of_pkiller/
360手机急救箱下载地址:http://www.360.cn/jijiuxiang/