信息全部来自北京奇虎360科技有限公司互联网安全中心
第一名:百脑虫木马
危险指数5星
威胁:推广APP、订阅扣费服务、关闭安全软件、难卸载、反虚拟机
百脑虫病毒于2015年下半年开始爆发,期间,360移动安全中心不断收到用户反馈:手机出现莫名下载安装其他应用以及自动订阅扣费业务等问题。
百脑虫病毒主要在一些第三方电子市场或某些色情类网站进行疯狂传播。该病毒方便被不同APK打包调用,再加上嵌入的主要是一些热门应用,因此传播迅速,感染量已超百万。当病毒感染手机后,会根据不同的手机系统进行提权并阻止其他软件获取root权限,病毒还会检测运行环境以保护自己。受感染的手机会出现自动安装APP、自动订阅扣费服务等症状,手机还原出厂设置也无法解决问题。
第二名:蜥蜴之尾木马
危险指数5星
威胁:感染系统库文件、替换系统文件、注入系统进程、窃取用户信息、监听通话与短信、订阅扣费服务
蜥蜴之尾”木马是“长老木马”三代的进化版。主要恶意行为由三代的推广APP演变为监听电话短信、订阅SP扣费服务等。据有些用户反馈,单月扣费金额达数百元
技术方面:
1.对抗安全软件:在移动安全领域首次采用了静态感染技术,感染系统运行依赖的库文件,加大了查杀难度。此外,还采用相似文件路径欺骗法、 样本MD5自变化等传统PC端的病毒
技术。2.自我保护:采用AES对加密算法、自定义算法加密了所有相关插件、配置文件、数据库等。虽然AES加密算法已被很多病毒木马所采用,并不稀奇,但是隐藏解密所必须的public key的方法非常独特。不但每个插件、配置文件、数据库解密需要的publickey都不同,而且public key本身又以加密的形式写入到其他正常文件的尾部或加密数据文件的指定位置,加大了分析人员逆向分析的难度。
威胁方面:
1. 后台监听:云端即木马作者可以不定时下发“后台监听”指令来建立远程通讯,实现远程监听用户的隐私,给用户隐私带来极大的威胁。
2. 恶意扣费:云端即木马作者不定时下发“订阅”指令,指令参数包含商品名称、收费金额、SP计费点及订阅网点。木马收到指令后根据参数内容到指定SP网点“自动办理”订阅服务并屏蔽订阅回馈短信。因木马恶意扣费非常隐蔽且一般一次性扣费的金额较少,很多受害用户过了一段时间才察觉自己手机可能是中招。
3. 隐私采集:云端可以下发“短信采集”、“基本信息采集”等指令获取用户敏感信息以进行再次获利。如果犯罪分子成功获取到这些数据对于用户来说意味着非常可怕的后果。比如短信包含很多与熟人相关数据,非法分子可以以“借钱”等为由向用户的熟人发送短信,危及到受感染用户周围的亲朋好友
第四名:幽灵推
危险指数4星
威胁:替换系统文件、推广APP、订阅扣费服务
该木马伪装常用应用,经由googleplay等应用市场传播(已下架),通过静默提权方式,以root权限向系统植入底层病毒。
该模块属于“幽灵推”底层模块,在病毒上层应用释放提权模块并且提权成功后,该模块开始部署恶意插件。木马通过执行chattr命令锁定恶意文件,阻止被删除,达到自我保护的目的,通过修改install-recovery.sh系统文件,达到开机启动的目的。
第五名:权限杀手
危险指数4星
威胁:ROM内置、对抗安全软件、监听短信、弹广告、推广、刷流量
自2013年以来,ROM级内嵌手机病毒“权限杀手”通过不断更新变种,已经成功植入接近300个ROM在一些刷机市场大肆传播,导致国内多达50万用户遭受影响。
该病毒试图通过删除其他应用获取系统ROOT所使用的关键文件来对抗安全软件,在自以为安全的情况下,开始实施弹广告、监听短信、推广软件等恶行。病毒服务器会根据手机信息分发指令,为了提高存活率,病毒甚至将APK要操作的底层文件的文件名放入云端,切断了APK与底层文件的直接关联,从而增加查杀的难度。
第六名:andma
危险指数3星
威胁:自我保护、执行云端下发指令、推广APP
该木马技术含量较低,其主要目的为运行后访问云端获取应用下载列表,进行恶意推广。同时监控自身相关文件变化,防止自身被安全软件清除。
第七名:糖果木马
危险指数3星
威胁:伪装系统文件、上传用户隐私、静默推广APP
该木马以插件形式内嵌到“聚折扣”、“手机散热大师”、“KMPlayer”等二次打包的应用中,迷惑不明真相的用户下载安装。用户一旦打开这些应用,木马就会被释放到系统/system/bin目录,伪装成zprop、boot_logo_updater等,并在用户/data等目录植入自己的数据文件。该木马具有下载、启用应用、删除应用、终止进程的功能,在用户不知情的情况下,进行APP推广获利。
第八名:万蓝木马
危险指数3星
威胁:ROM内置、执行云端指令、推广APP
2015年5月中旬,安全中心收到用户反馈,手机经常自动安装新的游戏应用。经分析排查发现,一款名为“万蓝”的ROM级手机木马正向用户伸出魔爪,通过静默推广以牟取利益。
“万蓝”拥有一套完整的体系结构,包括指令的下发,系统的检测以及版本的更新。通过严谨的运行逻辑来保证自身的隐秘性和稳定性,通过多达40个命令类型来保证自身功能的完整,通过从云端下载脚本推广的应用软件多达数十个。该木马主要通过植入为夏新、联想、小采等手机开发的三方ROM,在刷机网站进行传播。
下图为某知名刷机网站上发现的“万蓝”病毒
第九名:FakeSysCmd
危险指数2星
威胁:伪装系统文件、盗窃用户隐私、恶意推广、对抗安全软件
该木马家族伪装替换pm、adb_server、sz等系统命令。比如pm,是系统的软件包管理程序,木马替换该程序后,可以监控并自行安装卸载APP,甚至禁用安全软件。
我们还发现了病毒的一些保护措施,比如在使用pm的时候,替换成mp,企图掩盖其恶意行为,干扰分析。此手法着实低端,不过由此也看到了病毒的一些发展趋势——将自己隐藏到系统命令中,甚至替换系统命令,由病毒自己启动系统命令。
第十名:asshole
危险指数2星
威胁:静默提权、盗窃用户隐私、流氓推广。
木马作者恶意利用开源root框架,二次打包编译后以插件形式将病毒嵌入到常用软件或色情软件中,借助软件市场或色情网站传播。据360安全中心监控到的数据,该木马经常伪装成“抢票神器”、“流量统计”、“午夜看看”等。用户一旦使用这些软件,这个木马程序就会植入系统目录并在用户不知情的情况下,拿到手机root权限,从网络下载其他木马或恶意软件,危害极大。
