首页安全播报安全快讯 › 腾讯移动安全实验室:Android手机ROM病毒分析

腾讯移动安全实验室:Android手机ROM病毒分析

2011-12-20

       前段时间Carrier IQ病毒闹得满城风雨,特别是在美国社会掀起了巨大影响,惊动美政府,牵连到各大运营商,手机制造商等等。而这个著名的Carrier IQ病毒(简称CIQ病毒)其实这个Carrier IQ病毒也就是手机ROM病毒的一种。由于ROM病毒的影响越来越大,引起了广大手机用户的高度关注。那到底什么是ROM病毒呢?其背后的原理是怎么样的?是怎么被感染的?怎么样才能清除?由于Android系统的ROM病毒最为典型,基于QQ手机管家手机安全服务的腾讯移动安全实验室这一期的手机病毒行业报告,将以Android系统为例子为大家逐一解开疑团。

       ROM病毒定义

       这里所说的ROM,指的是手机、平板电脑等各类移动设备自己的系统固件,用户通过对手机解锁之后,便可以自行更换或者定义设备的系统固件。于是就有了“刷机”这一说法,“刷机”其实就是向移动设备写入新的ROM,即新的系统固件。在定义移动设备系统固件(即制作新的手机ROM)的过程中已经被捆绑进去的这一类病毒程序,我们都把定义为ROM病毒。ROM病毒是以渠道属性来进行区分的,跟病毒的自身病毒特征无关,所以ROM病毒可能是属于不一样的病毒类型。

 

 

(图1:ROM病毒的简明原理)

 

      ROM病毒的主要特点

       由于ROM病毒跟系统固件是紧密关联在一起的,所以ROM病毒主要有以下的特点:

        1、高权限性

       ROM病毒往往跟系统ROM自身的程序一样具备高权限特点,并且这一权限是在制作系统ROM的过程之中就已经被赋予好的,所以具有高权限的ROM病毒可以对手机的敏感权限模块进行访问或者指令式操作,可以说是完全掌握了手机的系统控制权。

        2、难删除性

          一般的Android手机在出厂的时候是不具备超级管理员权限的,也就是手机用户不能对系统文件程序进行随意的更改、卸载和删除等,而ROM病毒具有跟系统文件一样的权限属性,普通用户通过手机自身卸载程序、文件管理器是无法清除。

        3、高隐蔽性

       有很多的手机ROM病毒在植入ROM的过程中,通过会起一个与系统自身程序像类似的程序名字,比如“com.sec.android.******”等等,让用户难以识别这到底是病毒程序还是系统自身的程序,单凭肉眼判断是非常难以区分的。

        4、发现滞后性

       由于包含了病毒的ROM的文件是在一个封装的原始打包状态,网站服务器的病毒软件可以说是几乎完全识别不出来的,往往是手机用户把ROM刷入系统之后才慢慢察觉,所以这类病毒的发现具有非常严重的滞后性。

 

(图2:常见ROM病毒的系统进程截图)

        ROM病毒的传播渠道

        ROM病毒的传播渠道跟一般病毒程序的传播渠道有些区别,主要是因为这个病毒的传播是跟整个系统ROM的传播是捆绑在一起的,所以ROM病毒的传播可以进一步追溯到ROM自身的传播。目前常见的传播渠道主要有:

        1、ROM技术论坛渠道

刷ROM是手机系统升级和提升手机性能的最直接有效方式,升级系统所带来的改变让许多手机用户都兴奋不已,所以许多技术论坛的刷机版块都聚拢了不少刷机好爱分子,每个手机机型的对应版块往往也都开设了ROM资源版块。而这些ROM资源论坛版块则成为了ROM制毒者、制毒机构传播ROM病毒非常有效的途径。制毒者通常会把封装好的ROM上传到网络网盘上,然后在ROM资源版块发贴提供下载地址向用户传播。

        2、手机资源站、博客

         手机ROM资源相对于其他手机软件而言显得更为稀缺,上传到网盘的ROM时间久了可能会过期而无法下载,很多刷机用户都会借助搜索引擎来查找对应机型的ROM,某些制毒者通常会开设一些地下下载站提供下载链接又或者在一些手机软件站申请录入,并把ROM修改成“**机型极速优化版ROM”之类具有诱导性的名称进行恶意传播。同时制毒者也会在某些知名的博客站点开设博客发布文章提供下载地址诱导下载。

        3、水货刷机渠道

       目前国内水货的智能手机占了不少比重,因为水货手机的系统可能是国外语言版本又或者是国外软件的使用习惯,水货手机在进入消费者用户之前,水货商都需要对水货手机的系统进行重新升级。在手机系统重新升级的过程中,水货商往往会跟刷机商或者是刷机技术人员进行合作,实现大批量手机系统更新。有一些不法的水货商、刷机商或者是刷机技术人员,出于自身利益的考虑,提前在准备刷入的ROM内植入了部分推广软件甚至是手机病毒,从而导致许多购买水货手机的用户中毒。

 

       Android平台比较典型的ROM病毒

 

       腾讯移动安全实验室截获到的部分ROM病毒

        病毒名称:devicestatservice.[盗密诡计]

       该病毒通过刷ROM的形式安装到用户手机,安装后无启动图标,一旦激活便盗取信息包括ICCID、IMEI、IMSI、MSISDN等信息,给用户的隐私造成威胁。

 

       病毒名称:dg

       该病毒安装后没有启动图标,病毒一旦激活便在特定的时间向某些特定的SP号码发送扣费信息,还会删除相关的反馈信息,让用户在不知情的情况下被扣除高额的话费;同时该病毒还会自动后台联接网络,读取并且上传用户手机IMEI、IMSI和手机号码等信息,造成用户个人隐私的泄露。

 

 

       病毒名称:pmx.[刷机吸费大盗]

       该病毒安装后没有启动图标,一旦激活便在特定的时间向某些特定的SP号码发送扣费信息,删除相关的反馈信息,让用户在不知情的情况下造成严重的经济损失;同时该病毒还会自动后台联接网络,读取并且上传用户信息,造成用户个人隐私的泄露。

 

       病毒名称:ju6.[伪谷歌升级]

       该病毒安装后没有启动图标,一旦激活便后台自动下载安装其他应用还可能卸载手机应用,不但消耗用户流量,给用户带来一定的经济损失,还可能给用户带来进一步的安全隐患;同时,该病毒还会上传用户数据,跟踪用户位置,造成用户隐私泄露。

 

       病毒名称::dg.a.[系统杀手]

       该病毒被内置到ROM内,具有系统最高权限,不但不能通过正常途径卸载,而且能够阻止指定安全软件被安装,同时发送大量的扣费短信并删除指定号码发送的短信,给用户带来严重的经济损失。

 

       ROM病毒的删除处理

       ROM内置病毒与手机系统深度捆绑,若要对手机病毒进行删除处理,首先需要获取对应的最高系统权限,比如在Android系统下面就是需要获取root权限,root是Android系统中唯一的超级用户,具有系统中所有的权限,如删除系统文件,启动或停止一个进程,删除或增加用户,增加或者禁用硬件等等。获取系统root权限的方式有许多种,不一样的机型和操作系统版本获取root权限的难度也不太一样,简单的可以通过安装“一键root” 软件来获取,复杂的需要借助PC端等第三方软件甚至需要通过刷入特定的模块来获取,在这里不做一一详细论述。

       获取手机root权限之后,ROM手机病毒的删除才会成为可能,用户可以安装能获取系统root权限的“系统卸载类软件”来进行针对性卸载,如果用户非常确定手机ROM病毒所在的文件位置以及对应的病毒模块,用户也可以借助类似“root文件管理器”来进行针对性删除。不过这样的删除方式有误删系统文件的风险,可能会造成系统的不稳定甚至搞坏系统,让手机无法正常工作。

       建议用户安装专业的手机安全软件来进行查杀处理。目前手机安全软件QQ手机管家能够进行非常有效的进程监控和病毒防御,对于已经具备root权限的手机,QQ手机管家可以进行最行之有效的权限管理和操作,QQ手机管家与卡巴斯基合作提供双核引擎并自主研发强大的云端查杀,不断升级完善的手机病毒数据库,为各式各样的ROM病毒查杀提供了坚实的技术保障。

        QQ手机管家官方下载地址:http://msm.qq.com

       QQ手机管家微博:http://t.qq.com/qqsecure

       腾讯移动安全实验室微博:http://t.qq.com/QQSecurityLab

安全快讯 更多

BadMedia木马家族

BadMedia木马家族

2017-11-14
双11网购诈骗安全报告

双11网购诈骗安全报告

2017-11-10
2017Q3手机安全报告

2017Q3手机安全报告

2017-11-06

安全视频 更多

小管说安全(3)——谣言有毒

2017-10-24

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02