網(wǎng)曝史上最強(qiáng)安卓木馬 裝上你就刪不了

最近有媒體爆料，最高級(jí)的Android木馬已經(jīng)現(xiàn)身，據(jù)稱“它能利用Android操作系統(tǒng)此前未知的漏洞提升程序權(quán)限，并能阻止被卸載?！痹搻阂獬绦虮环Q為“Backdoor。AndroidOS。Obad。a”，其惡意行為是通過(guò)悄悄向增值服務(wù)號(hào)碼發(fā)送短信獲利。利用Android未曾發(fā)現(xiàn)漏洞并且無(wú)法卸載，“史上最強(qiáng)Android木馬”有多神奇？就此，360手機(jī)安全專家為我們做了深度剖析，詳解攻破“最強(qiáng)木馬”三層防查殺的整個(gè)過(guò)程。

第一層：封堵病毒分析主要入口阻止安全工程師獲取安全信息

首先，360手機(jī)安全專家發(fā)現(xiàn)，該木馬為逃避殺毒軟件查殺確實(shí)煞費(fèi)苦心。它在代碼中采取了一些專門針對(duì)病毒分析人員的措施，為安全公司分析它增加難度。例如，大多數(shù)安全公司分析Android木馬樣本時(shí)，通常采用AXML解析工具來(lái)解析樣本的主配置文件AndroidManifest。xml文件。該文件包含了Android應(yīng)用的主要模塊入口信息，是木馬分析時(shí)的重要線索。Obad。a木馬故意構(gòu)造了一個(gè)非標(biāo)準(zhǔn)的AndroidManifest。xml文件，使得病毒分析人員無(wú)法得到完整數(shù)據(jù)。

第二層：對(duì)指令代碼進(jìn)行特殊處理阻止反編譯

該木馬除了對(duì)代碼進(jìn)行加密處理以外，還通過(guò)對(duì)指令代碼進(jìn)行特殊處理，使得安全公司常用的Java反編譯工具無(wú)法正確地反編譯其指令，增加對(duì)木馬的分析難度：

第三層：利用系統(tǒng)缺陷阻止用戶卸載

該木馬為防止被用戶發(fā)現(xiàn)后卸載煞費(fèi)苦心。Android系統(tǒng)從2.2版本開(kāi)始，提供了一個(gè)“設(shè)備管理器”的功能，其初衷是為企業(yè)部署遠(yuǎn)程IT控制使用，為了防止員工私自卸載企業(yè)安裝的“設(shè)備管理器”，一旦激活設(shè)備管理器之后，該設(shè)備管理器就不可刪除。但是，由于Android系統(tǒng)對(duì)此功能設(shè)計(jì)的不完善，使得木馬可以利用這個(gè)機(jī)制，讓自己注冊(cè)成為一個(gè)設(shè)備管理器，從而阻止用戶卸載。

木馬首先會(huì)提示用戶“激活設(shè)備管理器”：

而一旦用戶不慎點(diǎn)了“激活”，那么木馬就被注冊(cè)成了設(shè)備管理器，此時(shí)該木馬的“強(qiáng)行停止”和“卸載”按鈕將完全失效，即，木馬無(wú)法關(guān)閉，也無(wú)法卸載：

最可怕的是，設(shè)備管理器還存在一定缺陷，當(dāng)木馬故意以一種錯(cuò)誤的方式來(lái)注冊(cè)設(shè)備管理器時(shí)，Android系統(tǒng)也能讓它注冊(cè)成功，但是在設(shè)備管理器列表中不會(huì)顯示。用戶因此找不到取消注冊(cè)設(shè)備管理器入口，無(wú)法取消木馬的設(shè)備管理權(quán)限。

系統(tǒng)中甚至不會(huì)列出木馬所注冊(cè)的設(shè)備管理器

Android未知漏洞去年已發(fā)現(xiàn)360手機(jī)衛(wèi)士已可查殺相關(guān)木馬

如此精心布防給安全廠商帶來(lái)不小的難度，據(jù)360手機(jī)安全專家介紹，360擁有強(qiáng)大的“動(dòng)態(tài)沙箱分析系統(tǒng)”，當(dāng)“Backdoor。AndroidOS。Obad。a”木馬試圖竊取用戶隱私、發(fā)送短信吸費(fèi)時(shí)，360的主動(dòng)防御系統(tǒng)會(huì)進(jìn)行攔截，提醒用戶木馬正在嘗試獲取本機(jī)號(hào)碼等危險(xiǎn)操作：

而“Backdoor。AndroidOS。Obad。a”木馬所利用的Android系統(tǒng)未知漏洞，360手機(jī)安全中心在2012年早已率先發(fā)現(xiàn)。據(jù)360手機(jī)安全專家介紹，去年在分析一款名為“LockMe”的應(yīng)用時(shí)，發(fā)現(xiàn)其觸發(fā)了Android的一個(gè)系統(tǒng)缺陷，導(dǎo)致無(wú)法正常卸載。

“史上最強(qiáng)Android木馬”雖然沒(méi)有傳說(shuō)中那么危言聳聽(tīng)，但仍需小心警惕。360手機(jī)安全專家介紹，手機(jī)只需要安裝最新版本的360手機(jī)衛(wèi)士，就可以聯(lián)網(wǎng)查殺該木馬。不過(guò)還是建議用戶

1.如果安裝應(yīng)用提示注冊(cè)設(shè)備管理器時(shí)，應(yīng)確認(rèn)這是可靠的應(yīng)用；

2.如果用戶不慎激活了設(shè)備管理器，導(dǎo)致應(yīng)用無(wú)法被卸載時(shí)，可以用360手機(jī)衛(wèi)士“軟件管家”的強(qiáng)力卸載功能將其徹底卸載。

3.啟用360手機(jī)衛(wèi)士的主動(dòng)防御功能，可攔截未知木馬。

4.及時(shí)升級(jí)360手機(jī)衛(wèi)士最新病毒庫(kù)，定期聯(lián)網(wǎng)云查殺，以查殺最新的木馬和病毒。

相關(guān)教程：360手機(jī)衛(wèi)士如何進(jìn)行手機(jī)殺毒