概述
2013年,ROM级内嵌手机病毒“权限杀手”曝光,该病毒通过删除其他应用获取系统ROOT所使用的关键文件,达到自己不被其他应用获取系统ROOT删除的目的,进而实施一系列作恶行为。通过云数据分析,该木马在近一年多的时间持续活跃,并且在2015年上半年突然爆发。
此次爆发的权限杀手最新变种,其系统模块、作恶手段均有所改进。通过调查分析,木马主要内嵌在手机ROM中通过刷机网站快速传播,此外还包括部分水货手机用户,到目前为止,国内受影响用户达50万之多,其中超过60%是近半年内新受到感染的用户。
到目前为止,国内刷机市场累计有接近300 个ROM预置了该木马,数量还在进一步增加,其中超过80%的ROM是今年上半年发布的。
这些ROM主要影响的手机品牌包括三星、联想、华为、酷派、小米、HTC等,几乎涵盖了所有市场主流的Android手机品牌。
我们对权限杀手手机病毒影响地区进行分析,发现该病毒除了主要感染国内用户外,全球范围的手机用户也有感染的迹象,对国外用户的感染主要集中在三星品牌的手机中。
权限杀手国内用户感染分布
图上可以看到,国内用户感染最严重的地区出现在两广地区,该地区也是国内水货手机和刷机用户最集中的地区。
权限杀手国际用户感染分布
图上可以看到,国际用户感染最严重的出现在印尼和土耳其地区。
分析
权限杀手会删除手机的授权管理文件,阻止其他应用获取ROOT授权,保证自身不被安全应用删除,同时进行下载、推广、刷流量等恶意行为。在最新变种中,木马主要包括3个模块:
PageViwer和searchcone是预置在ROM中的模块,PageViwer通过注册监听BOOT_COMPLETED和CONNECTIVITY_CHANGE的系统广播,完成恶意代码的启动。
PageViwer消息注册
PageViwer启动之后会收集用户手机信息,将信息发送至远端服务器,服务器根据手机信息判断需要分发的云端指令,PageViwer接收指令并完成指令解析。此后,PageViwer会将指令推送至searchcone模块执行,并下载启动Markserv模块。
PageView接收的云端指令格式
searchcone是预置在ROM的另一个模块,该模块主要负责指令的执行,它首先会检测输入参数,在参数正确的情况下获取ROOT权限,最后执行命令。
searchcone命令列表
Markserv是PageViwer下载的一个模块,由searchcone进行安装执行,但在部分ROM中,我们也发现了被预置的情况存在。
Markserv功能有:
1. 执行创建桌面快捷方式;
2. 清空自身程序数据;
3. 停止自身程序;
4. 刷流量,打开指定的网页;
5. 启动腾讯广点通广告;
6. 启动AdMob广告;
7. 发送短信;
8. 屏蔽短信;
9. 添加书签(最新版本添加的功能);
在权限杀手整个进化过程中,不可忽视的一点是,从早期将searchcone的文件名硬编码到APK中不同,最新版本的权限杀手,已经将APK和ELF之间的关联完全切断,APK需要操作的ELF文件名,完全由云端传入。这样,根据当前APK找到对应ELF文件将非常困难,由于ELF功能单一,并且参数检测严格,脱离了APK,很难独立判断黑白,大大降低了ELF模块的查杀率。而APK开发成本低,更新换代快,也大大提高了该木马的生存机会。
ROM认证的问题
“权限杀手”主要通过主流的刷机网站进行传播,据调查结果看到,刷机网站对ROM安全问题的把控能力不容乐观,ROM安全问题令人堪忧。此次内嵌该木马的上百个ROM文件几乎都同时打上了安全认证的标签,使得用户放松了警惕,这也是造成该木马流行传播的主要原因。例如:
如上所示,绝大部分预置“权限杀手”木马的手机ROM和以上图片一样,在发布时都带有“已通过腾讯ROM安全联盟认证”的标识,降低了用户的警惕性。
查杀
针对此类问题,我们建议大家从官方渠道购买手机,对于刷机用户,尽量从官方指定的渠道获取手机ROM,对于标注各种认证的手机ROM也不能掉以轻心,同时,也可以联系我们帮忙鉴定ROM的安全性。目前,360手机急救箱全面支持该木马所有变种的查杀与修复,如果您的手机ROM正好在我们发布的问题ROM列表里边,或者经常遇到无故损失流量、扣费等问题,建议到http://www.360.cn/jijiuxiang/下载360手机急救箱进行扫描。
附录
附一:“权限杀手”云控指令
附二:预置“权限杀手”的ROM
* 作者/360手机卫士(企业账号)
