光明網(wǎng)IT訊 央視新聞頻道曝光了由360捕獲的全球首個安卓手機木馬 “不死木馬”。它會偷偷下載大量色情軟件,造成話費損失,國內(nèi)感染手機超50萬。與以往所有木馬不同的是,該木馬被寫入手機磁盤引導區(qū),全球任何殺毒軟件均無法徹底將其清除,即使可以暫時查殺,但在手機重啟后,木馬又會“復活”。目前360手機衛(wèi)士已經(jīng)全球首家發(fā)布了專殺工具,可讓該木馬徹底失效,請安卓用戶盡快下載最新版進行查殺。
不死木馬牽出十億刷機黑色產(chǎn)業(yè)鏈
該木馬的出現(xiàn),牽出了國內(nèi)一個制造手機木馬、刷入手機木馬、將帶毒手機出售給消費者的龐大神秘黑色產(chǎn)業(yè)鏈。
此前一直有報道稱某些IT賣場的商家會將手機木馬植入手機中,但由于手機木馬也可以通過網(wǎng)絡傳播進行遠程攻擊,所以并未抓到確鑿證據(jù)。而此次360捕獲的“不死木馬”則和之前的不同。
據(jù)360手機安全專家朱翼鵬分析,“不死木馬”被植入手機磁盤引導區(qū)有兩種方法:
1)攻擊者曾物理地接觸到被感染手機,并將包含了惡意文件的boot.img鏡像文件刷到設備的boot分區(qū)中;
2)在系統(tǒng)運行期間,獲得root權限之后,通過dd工具將惡意文件強行地寫入到磁盤的boot分區(qū)中。
但目前所有的證據(jù)都支持第一種可能性。首先,360得到的受害者被感染手機樣本購買于中關村的某大型IT賣場,并非購買于官方渠道。
其次,被感染設備(Galaxy Note II)安裝了Samsung官方的系統(tǒng),其中的普通系統(tǒng)軟件均包含有效的Samsung官方簽名,但是recovery分區(qū)已經(jīng)被替換為一個第三方的ROM。此外,boot分區(qū)下的所有文件都擁有相同的時間戳。
最后,基于360的云安全技術,所有被感染設備的型號中,超過一半都不是流行的大眾機型。而如果采用第二種攻擊方法進行遠程感染,目標是隨機不可控的,被感染設備型號分布應該更接近于Android設備的市場分布情況。
所以,可以斷定,“不死木馬”是在手機的流通和銷售的某個環(huán)節(jié),被人手工刷入手機中,再將帶毒手機賣給消費者的。
而據(jù)360手機衛(wèi)士統(tǒng)計,目前國內(nèi)感染該木馬的手機超過了50萬臺。那么,是誰制造了這個木馬?是誰將木馬刷入了受害者的手機中?有多少人參與了這條“黑色產(chǎn)業(yè)鏈”?有多少受害者還在被暗中“吸費”?。
據(jù)360手機安全專家朱翼鵬介紹,保守估計國內(nèi)年水貨手機銷量近2000萬部,龐大的水貨市場衍生出了刷機產(chǎn)業(yè)鏈,但已知的刷機主要以刷應用軟件,賺取推廣費為主,按照每部50元計算,保守估計這個產(chǎn)業(yè)鏈最少是10億級別。
比如,深圳水貨手機入關后,立刻就會淹沒在刷機產(chǎn)業(yè)鏈中,大部分人拿到手的手機已經(jīng)預裝各類軟件應用。一部從深圳華強北流出來的手機,到消費者手中時,也許已被刷過五六次,每次刷機,大水貨批發(fā)商、小一級批發(fā)商以及全國水貨網(wǎng)點都會把各種軟件刷入,并向軟件開發(fā)商收預裝費。一般來說,一個軟件收取1元到10元不等。
而此次出現(xiàn)的“不死木馬”,單個木馬感染量高達50萬,可以預計,未來將會出現(xiàn)更多這種人工刷入手機磁盤引導區(qū)的木馬,對消費者資費安全造成嚴重威脅。
面對此類安全隱患 消費者如何防范?
安全專家提醒消費者:
手機如果莫名其妙的出現(xiàn)奇怪的軟件,要盡快下載最新版360手機衛(wèi)士進行查殺;
選擇正規(guī)的銷售渠道購買手機,避免買到被刷入木馬的手機;
安裝360等手機安全軟件并及時更新,定期殺毒,防范各類手機木馬。