安卓不死木馬逆襲 移動(dòng)支付安全引擔(dān)憂

繼央視新聞曝光全球首個(gè)安卓手機(jī)木馬“不死木馬”后，近日，央視經(jīng)濟(jì)半小時(shí)再次對(duì)“不死木馬”的發(fā)現(xiàn)、傳播及危害做了深度報(bào)道。與以往木馬不同，“不死木馬”被寫入手機(jī)磁盤引導(dǎo)區(qū)后，很多殺毒軟件均無法徹底將其清除。為此，360手機(jī)衛(wèi)士提醒廣大安卓手機(jī)用戶，如發(fā)現(xiàn)手機(jī)出現(xiàn)奇怪軟件，即有可能已感染該病毒，應(yīng)盡快對(duì)手機(jī)進(jìn)行安全檢查，避免木馬入侵帶來的個(gè)人信息和經(jīng)濟(jì)損失。

圖：央視提示警惕“不死木馬”逆襲安卓手機(jī)

據(jù)報(bào)道，“不死木馬”是在手機(jī)流通和銷售的某個(gè)環(huán)節(jié)被人手工刷入手機(jī)中，再將帶病毒的手機(jī)賣給消費(fèi)者。感染木馬的手機(jī)會(huì)自動(dòng)下載大量色情軟件，即使手動(dòng)刪除，手機(jī)重啟后，病毒仍會(huì)“復(fù)活”。病毒木馬一經(jīng)安裝，便會(huì)竊取手機(jī)用戶隱私、自行后臺(tái)定制服務(wù)扣費(fèi)、消耗手機(jī)流量，甚至發(fā)送詐騙短信等，給感染木馬的用戶帶來極大的安全隱患?！?/P>

不死木馬牽出十億刷機(jī)黑色產(chǎn)業(yè)鏈

該木馬的出現(xiàn)，牽出了國內(nèi)一個(gè)制造手機(jī)木馬、刷入手機(jī)木馬、將帶毒手機(jī)出售給消費(fèi)者的龐大神秘黑色產(chǎn)業(yè)鏈。

此前一直有報(bào)道稱某些IT賣場(chǎng)的商家會(huì)將手機(jī)木馬植入手機(jī)中，但由于手機(jī)木馬也可以通過網(wǎng)絡(luò)傳播進(jìn)行遠(yuǎn)程攻擊，所以并未抓到確鑿證據(jù)。而此次360捕獲的“不死木馬”則和之前的不同。

據(jù)360手機(jī)安全專家朱翼鵬分析，“不死木馬”被植入手機(jī)磁盤引導(dǎo)區(qū)有兩種方法：

1)攻擊者曾物理地接觸到被感染手機(jī)，并將包含了惡意文件的boot。img鏡像文件刷到設(shè)備的boot分區(qū)中;

2)在系統(tǒng)運(yùn)行期間，獲得root權(quán)限之后，通過dd工具將惡意文件強(qiáng)行地寫入到磁盤的boot分區(qū)中。

手機(jī)感染“不死木馬”（oldboot）

但目前所有的證據(jù)都支持第一種可能性。首先，360得到的受害者被感染手機(jī)樣本購買于中關(guān)村的某大型IT賣場(chǎng)，并非購買于官方渠道。

其次，被感染設(shè)備（三星Galaxy Note II）安裝了Samsung官方的系統(tǒng)，其中的普通系統(tǒng)軟件均包含有效的Samsung官方簽名，但是recovery分區(qū)已經(jīng)被替換為一個(gè)第三方的ROM。此外，boot分區(qū)下的所有文件都擁有相同的時(shí)間戳。

最后，基于360的云安全技術(shù)，所有被感染設(shè)備的型號(hào)中，超過一半都不是流行的大眾機(jī)型。而如果采用第二種攻擊方法進(jìn)行遠(yuǎn)程感染，目標(biāo)是隨機(jī)不可控的，被感染設(shè)備型號(hào)分布應(yīng)該更接近于Android設(shè)備的市場(chǎng)分布情況。

所以，可以斷定，“不死木馬”是在手機(jī)的流通和銷售的某個(gè)環(huán)節(jié)，被人手工刷入手機(jī)中，再將帶毒手機(jī)賣給消費(fèi)者的。

而據(jù)360手機(jī)衛(wèi)士統(tǒng)計(jì)，目前國內(nèi)感染該木馬的手機(jī)超過了50萬臺(tái)。那么，是誰制造了這個(gè)木馬？是誰將木馬刷入了受害者的手機(jī)中？有多少人參與了這條“黑色產(chǎn)業(yè)鏈”？有多少受害者還在被暗中“吸費(fèi)”？。

據(jù)360手機(jī)安全專家朱翼鵬介紹，保守估計(jì)國內(nèi)年水貨手機(jī)銷量近2000萬部，龐大的水貨市場(chǎng)衍生出了刷機(jī)產(chǎn)業(yè)鏈，但已知的刷機(jī)主要以刷應(yīng)用軟件，賺取推廣費(fèi)為主，按照每部50元計(jì)算，保守估計(jì)這個(gè)產(chǎn)業(yè)鏈最少是10億級(jí)別。

比如，深圳水貨手機(jī)入關(guān)后，立刻就會(huì)淹沒在刷機(jī)產(chǎn)業(yè)鏈中，大部分人拿到手的手機(jī)已經(jīng)預(yù)裝各類軟件應(yīng)用。一部從深圳華強(qiáng)北流出來的手機(jī)，到消費(fèi)者手中時(shí)，也許已被刷過五六次，每次刷機(jī)，大水貨批發(fā)商、小一級(jí)批發(fā)商以及全國水貨網(wǎng)點(diǎn)都會(huì)把各種軟件刷入，并向軟件開發(fā)商收預(yù)裝費(fèi)。一般來說，一個(gè)軟件收取1元到10元不等。

而此次出現(xiàn)的“不死木馬”，單個(gè)木馬感染量高達(dá)50萬，可以預(yù)計(jì)，未來將會(huì)出現(xiàn)更多這種人工刷入手機(jī)磁盤引導(dǎo)區(qū)的木馬，對(duì)消費(fèi)者資費(fèi)安全造成嚴(yán)重威脅。

面對(duì)此類安全隱患 消費(fèi)者如何防范？

在360手機(jī)衛(wèi)士最新版進(jìn)行查殺之外，360手機(jī)安全專家還建議：

定期更新360手機(jī)衛(wèi)士，及時(shí)查殺“不死木馬”后續(xù)變種;

在專殺工具檢測(cè)到“不死木馬”后，將機(jī)型信息和樣本上報(bào)給我們，可以幫助我們更好地發(fā)現(xiàn)新的變種，保衛(wèi)更多用戶的手機(jī)安全;

由于只有系統(tǒng)被篡改的手機(jī)設(shè)備才會(huì)感染“不死木馬”，如果使用360專殺工具檢測(cè)到“不死木馬”，您也可以直接聯(lián)系手機(jī)的經(jīng)銷商，協(xié)商售后事宜;

此外，360手機(jī)安全專家表示，“不死木馬”通過物理接觸或磁盤操作將自身寫入boot分區(qū)，并改寫init。rc腳本，是一個(gè)具有標(biāo)志性意義的手機(jī)木馬。這種攻擊技術(shù)可能在將來被其他木馬所使用，造成安卓反病毒事業(yè)上下一輪艱難的攻防對(duì)抗。