近日,360互联网安全中心发布权威手机安全报告《2013年中国手机安全状况报告》。据报告统计,2013年新增手机木马67.1万个,较2012年的12.4万个增长了4.4倍,平均每天新增近1838个。报告盘点了2013年度八大高位手机木马,详解了木马行为及防范方法。
(一) 伪装微信消息的木马
2013年2月,360互联网安全中心截获34款新型Android手机木马,这些木马会自动下载各种软件,并伪装微信消息诱骗用户安装。下图为恶意程序伪装微信消息的手机截图。
这些恶意程序会将自己伪装成“圆桌骑士”、“双截龙”、“侍魂”、“三国志”、“名将”、“雷电”、“合金弹头”等热门游戏,并在描述中加入如“绿色无广告版”等字样。用户一旦安装这些应用,手机就会联网接收黑客通过服务器发出的各种指令,远程控制手机,开始联网自动下载各种用于流氓推广的应用,并在下载过程中产生大量流量,消耗手机话费。
(二) 可致微博、微信乱弹广告的木马
2013年4月,360互联网安全中心截获到一批“借刀杀人”型手机恶意程序。与以往乱弹广告的恶意程序不同的是,这些恶意程序本身并不弹广告,而是让正常的微博、微信等应用频频弹出广告,不但消耗用户手机流量,更让用户误以为这是厂商自行在微博、微信上投放的广告。据统计,截至2013年4月底,携带此恶意广告插件的恶意程序将近300余款,感染量多达31万。下图为这些恶意程序导致微信、微博弹出广告的手机截图。
分析发现,这些恶意程序主要是正常程序被植入了一种特殊的恶意广告插件。这个插件会暗中在后台启动监控服务功能,通过获取服务器指令,自动检测判断手机中是否含有微信、新浪微博等应用,随即在这些正常应用界面中频繁弹出“精品推荐”等不同类别的广告。
(三) “欺诈信使”木马群发诈骗短信
2013年上半年,360互联网安全中心截获一个名为“欺诈信使”的手机木马。该木马通常会伪装成常用软件或游戏,一旦被安装到手机中,该木马就会读取手机内存和SIM卡内的联系人信息,并向所有联系人群发事先编辑好的诈骗短信。诈骗短信的常见内容是以在KTV等私人场所被警察抓获为由,让亲友将所谓的“保释金”汇入“某某的银行账户。下图是360手机卫士拦截此木马时的截图。
欺诈信使木马可以将任何一部手机变成垃圾短信或诈骗短信的群发器,没有固定的端口,这也给运营商的监管造成很大难度。同时,由于收信者看到的发信号码是自己熟悉的亲人或朋友的号码,因此其迷惑性更强,更加难以识别。
(四) “支付鬼手”专偷用户手机支付帐号密码
2013年5月,360互联网安全中心截获一款名为“支付鬼手”的手机木马,该木马伪装成淘宝客户端,将用户输入的淘宝账号、密码以及支付密码通过短信暗中发送至黑客手机,同时诱导用户安装木马子包,劫持用户收到的包含验证码在内的所有短信,并联网上传或直接转发至黑客手机。而黑客一旦收到这些信息,就会将用户支付宝财产洗劫一空。“支付鬼手”是当时截获的唯一一个具有完整盗窃支付账号能力的手机木马。
下图为360手机卫士拦截“支付鬼手”木马及拦截该木马向黑客手机发送短信时的手机截图。
下图为“支付鬼手”木马诱导用户安装“账户安全服务”恶意子包的手机截图。
“支付鬼手”木马主要通过二维码、论坛等多渠道进行传播。黑客会将木马下载地址制作成二维码图片在网站及论坛传播,诱骗用户扫描下载,其安装包显示名称为“旺信内测版”或“跳蚤街”等名称。
(五) 具有三层防查杀能力的Android木马
2013年6月,360互联网安全中心截获了一款“Backdoor.AndroidOS.Obad.a”的恶意程序。该木马的主要行为是偷发送短信为手机定制扣费业务,并下载更多的恶意程序。。此外,为了在短时间内感染更多设备,已被感染的手机还会被控制自动搜索其他蓝牙设备,发送恶意程序并远程执行木马命令进行安装。
而特别值得注意的是,该木马具备“反查杀,难解析,难卸载”等特性,是迄今为止发现的结构最复杂的Android木马。其独特之处在于,该木马具备的三层防查杀特性,使该木马不仅很难被发现,而且极难被卸载。此外,该木马还利用Android系统自身漏洞,将其注册为设备管理器且在列表中不显示,最终使木马程序无法关闭和卸载,使被感染的手机始终处于安全风险之中。
下图为该木马在手机上的信息和被手机卫士拦截的情况截图。可以看出,该木马即无法被强行停止,也无法被直接卸载。
不仅如此,该木马还利用了Android系统存在的另一种缺陷。使得该木马即便以一种错误的方式注册进设备管理器,Android系统也能让其注册成功,而用户却无法找到取消该木马管理权限的入口,此时木马便可随意在被感染手机中作恶。
(六) 最耗流量木马“尸潮”
2013年7月2日,360互联网安全中心截获到一批恐怖的“尸潮”木马最新变种。该变种伪装成超过12000款热门手机应用进行传播,如“疯狂猜图”、“百度魔图”、“超音速飞行中文版3D”等。一旦安装这些被感染的应用,黑客就可随时通过远程操控,让手机在后台下载未知应用,大量消耗手机上网流量。 “尸潮”是迄今为止消耗流量最多的手机木马。
(七) “扣费黑帮”系列木马
2013年8月15日,360互联网安全中心发布橙色预警,一批名为“扣费黑帮”的恶意扣费手机木马正在蔓延,感染软件数量高达惊人的5000余款。这类木马可使黑客远程操控中招手机所发送的短信内容,让中招手机不仅发送扣费短信,而且还会向亲友群发诈骗短信、广告信息等,使手机成为庞大的诈骗短信“肉鸡”手机群。
“扣费黑帮”系列木马还具备少见的“反侦查”机制:该木马入侵手机后会首先检测手机中是否安装了安全软件,如果这些安全软件处于运行状态,则“扣费黑帮”不会触发恶意行为,隐蔽性和自我保护能力极强。
(八) 不死木马,最难清除的手机木马
2013年12月,有用户向360互联网安全中心反馈手机中有“杀不掉”的木马。据用户描述,他刚购买的手机经常莫名其妙地出现大量自己没有安装过的软件,消耗了大量流量,造成话费损失。该用户使用360手机卫士进行杀毒,发现手机中有三个预装的木马。但问题是,在清除这些木马之后,每次重新启动手机之后,又会出现同样的象,并再次检测出木马。
随后,360互联网安全中心对该用户的手机内进行了检测,在该用户手机内捕获到全球首个被写入Boot分区的手机木马,并将其命名为“不死木马”(英文命名为Oldboot)。这是目前已知的最难清除的手机木马,目前在国内的手机感染量已经超过50万部。
目前该木马的主要行为是频繁联网,下载大量推广软件,造成流量话费损失并将手机电量迅速耗尽。此外,通过对该木马的代码分析还发现,该木马还拥有卸载其他软件和劫持短信发送给任意手机号的功能。
由于该木马被写入了手机磁盘引导区,因此,清除木马之后,只要重新启动手机,该木马又会被重新载入。木马病毒感染磁盘引导区的攻击方法在个人电脑领域并不罕见,但在智能手机领域尚属首次被发现。检测显示,目前世面上的绝大多数手机安全软件都无法彻底清除该木马。用户一旦发现手机感染了该木马,需要使用专杀工具才能将其彻底清除。
综合木马特征和用户反馈的情况来看,“不死木马”目前的主要传播方式应该是在手机流通销售的某个环节被人工手动刷入的。
据360手机安全专家朱翼鹏介绍,随着手机支付的普及,针对手机的攻击将取代电脑成为个人信息安全首要威胁。
而面对越来越多的威胁,一款可靠的手机安全软件也成为手机的必备软件。朱翼鹏建议用户安装360手机卫士等安全软件并注意升级,对手机定期体检杀毒,可有效查杀最新的手机木马,避免被“吸费”。另外在选择应用市场进行下载时要尽量选择安全市场,避免使用搜索引擎等渠道下载到未经过安全审核的山寨软件。