360发布橙色警报：15万台手机沦为僵尸！

发布时间：2011-07-26 08:16:02作者：知识屋

继六月初360率先查杀“安卓僵尸”木马后，近日，360手机云安全中心再次拦截到一批“安卓僵尸”最新变种木马。该木马会伪装或篡改成googleupdate服务、俄罗斯方块、一键翻墙、水果对对碰、九宫格日记等60多款正常软件，以骗取用户下载安装，还实现了精确打击，能在神不知鬼不觉的情况下回传隐私、卸载特定软件以及安装新木马等一系列恶性操作！据保守估计，受到感染的手机已经超过15万台。目前，360手机卫士最新版已经可以独家查杀，用户可以在线更新或登录shouji.360.cn下载最新版。

　　经过360安全专家分析，变种木马与此前的“安卓僵尸”手法如出一辙，同样以篡改正常软件的方式，骗取用户下载安装。但是，变种后的“安卓僵尸”不再与正常软件的安装包一起安装到用户手机，而是利用系统漏洞在半夜偷偷联网下载安装，同时还会自动侦测、绕过甚至直接干掉安全软件进程，用户一旦中招，手动无法删除，手机将彻底置于黑客控制之下，沦为僵尸手机。

　　“我们这次发现的‘安卓僵尸’的最新变种木马最大的特点是能实现精确打击，也就是说木马会不断从服务器端获取攻击指令，什么时候动手完全取决于黑客。”360安全专家说。

　　

　　图1：360手机卫士独家查杀“安卓僵尸”变种木马

　　木马行为分析：

　　1、“安卓僵尸”变种木马伪装成googleupdate系统组件。

　　

　　图2：木马伪装成googleupdate服务

　　2、木马子包私自联网，回传用户隐私信息，如IMEI，手机设置，联网配置、程序列表等等，便于黑客配置特定的攻击指令。

　　

　　图3：木马会回传用户隐私信息

　　3、木马连接远端服务器，获取恶意行为指令。

　　

　　图4：木马连接远端服务器，获取恶意行为指令

　　4、能够执行安装/卸载动作，能够从远端获取卸载任何程序的指令。

　　

　　图5：木马能够卸载任何指定程序

　　5、至此，黑客已完全取得用户手机的控制权，可以为所欲为，实施包括回传用户手机中任何隐私信息，终止安全软件，安装其他木马等恶性操作，让无数手机沦为“僵尸”。

　　对此，360手机安全专家为广大Android用户提出了几点建议，提醒用户小心防范：

　　1、通过篡改正常软件来作恶的木马，通常在权限上会有所体现，木马包的权限和正常包会有明显不同，木马会多出数个敏感高危权限，用户可以此为依据辨别；

　　2、在选择应用下载网站时，应该尽量选择大型可信站点，如Google官方市场或360手机必备等经过人工检测绝对安全的软件，并养成经常杀毒的习惯；

　　3、Android平台的开放性也给木马提供了隐蔽的条件，如果木马获取高权限，用户将很难察觉木马入侵，所以最好安装360手机卫士等具有云安全智能拦截功能的手机安全软件，进行主动防御与一键查杀。