首页安全播报安全快讯 › 权限杀手惊现严密病毒逻辑 中外安全厂商联合预警

权限杀手惊现严密病毒逻辑 中外安全厂商联合预警

2013-04-02

        近日,国内知名手机安全软件腾讯手机管家与全球云安全领导厂商趋势科技联合发现了一款新型Android系统内置手机病毒“权限杀手”。该病毒内置在ROM内,获取系统最高权限,并通过监控删除其他软件获取ROOT所使用的superuser.apk和su文件,从而禁止其他应用获取Root权限来删除自己,能很好地保护自己不被查杀。据调查发现,该病毒影响到的用户群体主要是水货手机买家和部分的刷机用户。

        目前该病毒已经在国内水货与刷机市场快速蔓延与繁殖,并在短时间内被内置到超过10万余部手机当中,一旦遭受该病毒入侵的Android手机,用户不知不觉地被吸取大量流量资费,被安装上各种其他程序,但由于该病毒强大的反卸载能力,用户无法删除,只能忍受病毒的危害。基于该病毒的“防守性”与“攻击性”,其团队化作业程度前所未见,预计一旦在水货市场大面积感染将引发Android手机用户普遍性恐慌,基于此,腾讯手机管家已与趋势科技已发布“权限杀手”病毒专杀工具,查杀该新型病毒。

图:“权限杀手”病毒程序

        腾讯移动安全实验室专家对该病毒进行了深入的分析,发现该病毒从传播到防查杀方面具有严密的分工逻辑,用户需要提高警惕:

        1、该病毒利用ROM内置的形式传播。由于查杀ROM内病毒,首先必须要获得ROOT权限(超级管理员权限),而该病毒先用一个程序阻止其他程序获取ROOT权限,删除root授权文件等,导致其他程序无法获取ROOT权限,从而达到自我保护。

        2、在自我保护状态下,再启动其他程序来实施恶意行为,这样该病毒的恶意行为就有了保护伞,可以肆意妄为。

        截至目前,“权限杀手”病毒已经通过水货刷具等渠道提前内置到10万余部安卓手机中,而且带有该病毒的ROM包仍然在各大手机论坛疯狂传播。

        据腾讯手机管家与趋势科技安全专家透露,该病毒通过刷机包植入用户手机中,然后将Bluekey、Sndconsole 、Xinitd三个文件分别隐藏在系统目录下。这三个病毒程序各有明确的分工,分别负责防卸载、启动恶意程序、实施恶意行为,构成了严密的防查杀逻辑。

图:权限杀手病毒原理

        病毒在/system/app下安装sndconsole.apk和bluekey.apk,在/system/bin下释放xinitd,并全部获取root权限。

图:Sndconsole.apk获取root权限

        手机开机后Bluekey程序会自动启动,并监控与删除superuser.apk和su文件,这两个文件是其他程序获取Root权限的重要文件,一旦删除其他应用将无法获取Root权限,包括手机安全软件,以下为代码片段截图。

图:权限杀手删除superuser程序、删除su和卸载软件

        开机后,Sndconsole也会自启动,并创建后台service,以下为代码片段截图。

图:Sndconsole创建后台service

        Sndconsole Service会启动Xinitd程序,以下为代码片段截图。

图:由Sndconsole Service启动Xinitd程序

        Xinitd程序会接受服务器指令,根据服务器指令去下载与安装特定程序,由于Xinitd本身获取有Root权限,所以它可以静默下载与安装其他推广软件程序,以下为代码片段截图。

图:从指定网站上传和下载数据

图:静默删除或安装特定程序

        安全专家表示,这也是“权限杀手”病毒的自我反卸载功能,因为手机安全软件无法获取Root权限就无法清除“权限杀手”病毒的相关文件。手机一旦感染了“权限杀手”病毒,会导致大量的手机流量消耗,同时还可能遭遇隐私泄漏、手机进程优先级被恶意修改等安全问题。

        面对“权限杀手”病毒强大的反卸载能力,腾讯手机管家与趋势科技联合同步发布了“权限杀手”专杀工具,可以精准的检测手机是否存在“权限杀手”病毒,并根据具体情况给出有效的解决方案。

图:腾讯手机管家“权限杀手”病毒专杀工具查杀图

        腾讯手机管家“权限杀手”专杀工具下载:

http://qudao.3g.qq.com/channel/softpkg/file/upload/20130329172129.apk

        趋势科技“权限杀手”专杀工具下载:

 http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/趋势科技权限杀手工具-安卓版/

        关于腾讯手机管家:国内知名手机安全软件,独创双核查杀引擎以及强大云查杀,用户已经超过1.4亿。多次通过英国西海岸、德国AV-TEST测试,成绩位列国内手机安全软件榜首,其中病毒查杀能力、手机安全防护能力、手机软硬件管理能力领先行业。

        关于趋势科技:趋势科技是全球虚拟化及云计算安全的领导厂商,致力于保障企业及消费者交换数字信息环境的安全。趋势科技始终秉持技术革新的理念,基于业内领先的云计算安全技术(Smart Protection Network)核心技术架构,为全世界各地用户提供领先的整合式信息安全威胁管理技术能防御恶意软件、垃圾邮件、数据外泄以及最新的Web信息安全,保障信息与财产的安全。同时,遍布全球各地的1,500余名趋势科技安全专家可为各国家和地区的企业级个人用户提供7×24的全天候响应及技术支持服务。更多关于趋势科技公司及最新产品信息,请访问: www.trendmicro.com.cn。

安全快讯 更多

蓝牙协议爆严重安全漏洞

蓝牙协议爆严重安全漏洞

2017-09-13
首个Android DDoS恶意程序

首个Android DDoS恶意程序

2017-08-29
勒索病毒生成工具横行

勒索病毒生成工具横行

2017-08-16

安全视频 更多

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02

小管说安全(2)——红包炸弹

2017-07-24