一、 概述
2017年2月份移动端底层病毒单月感染量40万次,从恶意程序类型来看,以资费消耗型病毒为主占(70.3%)。
近几个月,Android手机上爆发了难以杀死的病毒木马。该病毒拥有多种Root提权方案,在成功获取Root权限后,禁用安全软件,并且阻止其他应用获取权限。不仅如此,病毒采用众多守护方案,被杀死后,只要有一点疏漏便会死灰复燃。病毒查杀技术的提高,很大程度上减少了病毒的存活率,但是不乏技术深厚的黑产团队一直与安全行业对抗。
二、 2月份底层病毒态势
2月份流行病毒占比最高的是AndNative.Snd,占总量34.9%,主要活跃于最近几个月。而时间较为久远的地狱火病毒、长老木马家族底层模块(AndNative.Vold,AndNative.AnCurl,AndNative.Dm,AndNative.LibCake)活跃度依然很高。这些历史病毒(包括AndNative.Spm)占比近一半,并且都在持续更新,说明基本都是大团队制作,一般的小团队或是个人很难有这样的技术实力和长期支持的能力。
图一 底层流行病毒占比
从恶意程序类型来看,Android恶意程序以资费消耗为主,占比(70.3%)。其次是远程控制(20.2%)。
图二 底层流行病毒类型分布
资费消耗型病毒占比很高,这类恶意程序收益高、回报周期短,对于一些系统ROM内置恶意程序甚至都不用提权就可以办到,这样木马权限高,存活率高。
三、 “X破坏者”病毒
2月份我们收到多例360手机急救箱查杀病毒时闪退的用户反馈,远程协助下发现了 “X破坏者”病毒,该病毒一旦在手机上安装成功,便启动Root提权模块,接着循环删除安全软件和一键Root工具,让用户无法彻底清除病毒,而且还会发送扣费短信订制包月业务,造成用户话费损失,影响用户正常使用手机。
图三 360手机急救箱用户反馈
(一) 用户感染地域分布
图三 “X破坏者”病毒地域分布
国内受影响排名前三的省份是:广东、河南、山东,其中广东是感染量最大的地区。
(二) 木马恶意行为
1. 恶意扣费
部分扣费短信相关信息:
表一 扣费短信相关信息
2. 删除安全软件
该病毒安装成功后,便会循环删除或禁用系统中下列安全软件和一键Root工具:
表二 删除或禁用安全软件列表
病毒运行后KingRoot一直提示报错,影响正常使用:
图四 病毒运行演示
(三) 木马传播渠道
色情应用和伪装正常应用是“X破坏者”最常用的传播方式, 同时还打上某公司数字签名藏匿于各大正规应用商城:豌豆荚、腾讯应用宝、百度手机助手等。
诱导用户下载安装是该病毒的主要手段;
该病毒常用来伪装的正常应用排名前三的分别是:Meipai(com.meitu.meipaimv)、美颜相机(com.meitu.meiyancamera)、清风DJ(com.qfs.music)。
色情应用分别是:看片神器、高清视频。
四、 安全建议
360手机卫士安全专家建议,来源不明的手机软件、安装包、文件包等不要随意点击下载;手机上网时,对于不明链接、安全性未知的二维码等信息不随意点击或扫描;使用360手机卫士等手机安全软件定期查杀手机病毒,养成良好的手机使用习惯。
目前,最新版360手机急救箱已支持“X破坏者”专杀。