史上最能藏的手機(jī)病毒：“蜥蜴尾”木馬繁衍數(shù)十萬(wàn)變種

    【移動(dòng)通信網(wǎng)】“蜥蜴尾”木馬感染80萬(wàn)部手機(jī)360手機(jī)急救箱首家查殺

    手機(jī)病毒正在變得越來(lái)越“擬人化”。日前，360手機(jī)安全中心發(fā)現(xiàn)了首次在Android系統(tǒng)中通過(guò)感染方式進(jìn)行自我保護(hù)的木馬病毒——“蜥蜴尾”，采用“注射”式的靜態(tài)感染方法入侵手機(jī)底層系統(tǒng)，查殺難度高，還能繁衍數(shù)十萬(wàn)變種，感染力極強(qiáng)�！膀狎嫖病蹦抉R是由360手機(jī)安全中心此前截獲的“長(zhǎng)老木馬”三代一個(gè)惡意子模塊演變而來(lái)，也被稱為“長(zhǎng)老木馬”四代。目前，“蜥蜴尾”木馬總感染量已經(jīng)超過(guò)80萬(wàn)，360手機(jī)急救箱已實(shí)現(xiàn)首家查殺。

圖1:360手機(jī)急救箱查殺“蜥蜴尾”木馬

    “蜥蜴尾”木馬擁有幾十萬(wàn)變種

    不同于一般的手機(jī)木馬偽裝成常用APP的作惡方式，“蜥蜴尾”木馬擁有獨(dú)特的加密解密模式，通過(guò)在文件末尾嵌入32位長(zhǎng)度的字符串，解密后當(dāng)作KEY,用于私有數(shù)據(jù)庫(kù)等配置文件的AES/DES加密與解密。但就是這一方法，導(dǎo)致同一版本長(zhǎng)老四，出現(xiàn)幾十萬(wàn)個(gè)變種。這種相似文件路徑欺騙法、樣本MD5自變化等正是傳統(tǒng)PC端的病毒技術(shù)，偽裝性極高。

圖2：“蜥蜴尾”木馬兩個(gè)ELF可執(zhí)行文件的對(duì)比

    360手機(jī)安全專家分析稱，“蜥蜴尾”木馬主要分為launcher和核心作惡的ELF可執(zhí)行模塊，圖1為兩個(gè)“蜥蜴尾”ELF可執(zhí)行文件的對(duì)比，可以看出，其文件末尾嵌入隨機(jī)生成的32位長(zhǎng)度的字符串，同一版的“蜥蜴尾”木馬則出現(xiàn)幾十萬(wàn)個(gè)變種，并具有極高的感染性。

    “注射”式的靜態(tài)感染方法躲避安全軟件查殺

    “蜥蜴尾”與長(zhǎng)老木馬三代有緊密的關(guān)系，是由其子模塊發(fā)展而來(lái)。同長(zhǎng)老木馬三代相比，“蜥蜴尾”采用的“注射”式的靜態(tài)感染方法，可將惡意代碼插入到被感染的系統(tǒng)文件，在被感染系統(tǒng)文件即中完成“蜥蜴尾”的啟動(dòng)工作。值得指出的是，“蜥蜴尾”是在Android系統(tǒng)中首次采用感染技術(shù)的木馬。

圖3：被感染的系統(tǒng)庫(kù)文件\system\bin\libglog.so

    這種“靜態(tài)感染”方式加大了查殺難度。首先，增強(qiáng)了“蜥蜴尾”的隱蔽性，被感染的系統(tǒng)文件裝載時(shí)加載惡意launcher，接著launcher啟動(dòng)ELF可執(zhí)行文件。由于被感染的系統(tǒng)庫(kù)文件除了導(dǎo)入表多了一行字符串(launcher的路徑)之外，與其他正常系統(tǒng)庫(kù)文件完全相同，容易躲過(guò)安全軟件的查殺。

    其次，增加殺毒軟件的修復(fù)難度，由于被感染的庫(kù)文件隨系統(tǒng)進(jìn)程啟動(dòng)時(shí)嘗試加載導(dǎo)入表中的所有so文件，可能會(huì)因?yàn)榘踩�軟件的暴力刪除導(dǎo)致手機(jī)系統(tǒng)掛機(jī)。

    “蜥蜴尾”置于系統(tǒng)層感染

    同以往的病毒有所不同，“蜥蜴尾”木馬是對(duì)系統(tǒng)層的感染，“蜥蜴尾”木馬通過(guò)更加隱蔽的“靜態(tài)感染”啟動(dòng)方式，將惡意代碼插入到被感染的系統(tǒng)文件，在被感染系統(tǒng)文件中完成其啟動(dòng)工作，最終實(shí)現(xiàn)了對(duì)于手機(jī)系統(tǒng)層的感染。

    “蜥蜴尾”木馬還能通過(guò)感染技術(shù)實(shí)現(xiàn)自我保護(hù)和隱藏自身惡意代碼，具有PC端的病毒自我保護(hù)手段，能夠在移動(dòng)端大量使用了免殺、加密、隱藏、反虛擬機(jī)等傳統(tǒng)PC端病毒自我保護(hù)技術(shù)，更加不容易查殺。

    對(duì)手機(jī)隱私及流量安全威脅極大

    “蜥蜴尾”木馬的ELF可執(zhí)行模塊包括distillery、plugins及redbean三個(gè)主要部分。只要手機(jī)受其感染，這些插件能夠在受感染的手機(jī)中執(zhí)行遠(yuǎn)程服務(wù)端指令、惡意扣費(fèi)、短信攔截監(jiān)控、下載和更新插件、后臺(tái)通話等潛在惡意行為，泄露受感染手機(jī)用戶的隱私，尤其是對(duì)流量安全有極大的危害，能在手機(jī)用戶毫無(wú)察覺(jué)的情況下通過(guò)下載插件、訂購(gòu)業(yè)務(wù)等手段造成手機(jī)流量的大量流失，給用戶造成經(jīng)濟(jì)上的損失。

圖4：“蜥蜴尾”木馬感染地域分布

    360手機(jī)安全專家指出，“蜥蜴尾”木馬感染的手機(jī)幾乎涵蓋所有主流機(jī)型，Android4.0.3以上系統(tǒng)成為感染重災(zāi)區(qū)，手機(jī)用戶一定要通過(guò)正規(guī)渠道下載安裝App應(yīng)用，同時(shí)，安裝專業(yè)的安全軟件，開(kāi)啟安全監(jiān)控。如果手機(jī)已經(jīng)刷過(guò)第三方ROM或者手機(jī)已經(jīng)Root，360手機(jī)安全專家建議手機(jī)用戶采用360手機(jī)急救箱進(jìn)行一次完整的深度掃描，查殺“蜥蜴尾”木馬，保證手機(jī)使用安全。