近日,360移动安全团队发布了《“舞毒蛾”木马演变报告》,由于该木马具备多个版本演变,并会下载多个恶意文件执行恶意行为,360移动安全团队将其命名为“舞毒蛾”。360移动安全团队围绕该木马,通过感染量、传播来源、传播流程、主要危害等角度进行了全面分析。截至目前,已捕获“舞毒蛾”木马样本超1.2万个,感染手机达340万部。
“舞毒蛾”感染量高达340万 三星手机受害最严重
图1:“舞毒蛾”木马传播范围广 全球多个国家和地区均受影响
报告显示,从2015年2月开始,360移动安全团队已监测到“舞毒蛾”木马。到2016年2月底,该木马感染量已高达340余万,并且全球多个国家和地区受到影响,除中国、印度和印度尼西亚深受其害外,俄罗斯、美国、墨西哥、南美洲、欧洲等国家和地区均受到影响。
图2:三星手机受害最为严重
值得注意的是,从感染手机厂商数据来看,三星和OPPO两个品牌感染“舞毒蛾”最普遍,三星手机的感染量达到了42万,OPPO也有37万之多。从TOP10数据来看,华为、VIVO、联想、小米等品牌均进入榜单,可见“舞毒蛾”影响之广。
360移动安全团队研究发现,“舞毒蛾”木马在演变过程中能够不断增强自己提权模块的能力,在后期演变中还增加了针对三星Galaxy S6及采用MTK芯片手机的支持。因此,三星和其他国内主流采用MTK芯片的手机感染量较大。
“舞毒蛾”靠色情疯狂传播 2016年呈爆发式增长
图3:“舞毒蛾”木马利用色情信息疯狂传播
360移动安全团队发现,“舞毒蛾”木马喜欢借助名称具有诱惑性、图标暴露的色情播放器类恶意软件进行传播。通过对其传播源的统计发现,80%的“舞毒蛾”木马均借助色情播放器。如:OXPlayer、无码快播、18禁影院、无码AV爽片等。360手机卫士安全专家表示,由于色情播放器类恶意软件的数量已达千万级别,因此该木马的传播能力极强,传播范围也十分广。
图4:“舞毒蛾”木马于2016年初开始爆发式增长
报告显示,截至2016年2月底,360移动安全团队共捕获到“舞毒蛾”木马样本1.2万余个。从2015年底开始“舞毒蛾”木马呈爆发式增长,仅2016年2月期间,360移动安全团队就捕获近8000个样本。
云控木马——“舞毒蛾”核心模块六大恶意行为
据360移动安全团队分析,“舞毒蛾”实际上是一款云控木马,该木马能够联网下载恶意代码,并在本地释放提权代码,静默申请手机权限。不仅会向系统写入恶意文件,还能够注入到系统进程,从而实现多种恶意行为,给用户造成隐私泄露和经济损失。
图5:“舞毒蛾”核心模块存在多种恶意行为
报告显示,“舞毒蛾”木马的核心包含了获取root权限、篡改系统、恶意扣费、恶意广告、下载安装、窃取隐私六大恶意行为,以及自我更新、自我保护两大查杀对抗功能,够通过检测运行环境,监控文件变化进行自我保护,以联网的方式来实现功能升级。
在进入用户手机后,“舞毒蛾”木马会利用漏洞获取用户Root权限;同时在手机系统system、data目录下,部署多个恶意文件;在手机使用过程中,“舞毒蛾”会注入到系统进程,操纵短信功能造成恶意扣费;同时频繁弹出全屏广告,影响手机正常使用;还会通过获取服务器指令,窃取并上传用户信息,造成用户隐私泄露。
“舞毒蛾”疯狂传播 360手机卫士安全专家提供防范建议
360移动安全团队表示,联网下载带有提权功能的恶意包是如今木马出现的新趋势。此类木马结构复杂,一旦某个模块被删除,其他模块能够实现功能替补,达到各功能模块互相保护的目的,“舞毒蛾”这种具备自我保护能力的木马难以彻底清除。
建议网友使用360手机卫士的手机急救箱,可以有效针对此类木马进行查杀,并修复被破坏的系统及文件,避免系统漏洞致使更多手机木马趁虚而入。
详细分析地址:http://blogs.360.cn/360mobile/2016/03/08/analysis_of_wudue/
360手机卫士下载地址:http://shouji.360.cn/