首页 > 品质中心 > 360公布十大手机恶意程序 木马伪装微信消息传播(全文

360公布十大手机恶意程序 木马伪装微信消息传播(全文

来源:大发 | 时间:2018-11-20 人气:[!--onclick-

  人民网1月12日电 360互联网安全中心1月11日发布了《2013年中国手机安全状况报告》。报告显示,2013年全年,Android平台新增恶意程序样本67.1万个,用户感染恶意程序9747万人次,其中资费消耗、恶意扣费、隐私窃取和诱骗欺诈类恶意程序的感染量最高,分别占到感染人次数总量的46%、21%、21%和8%。用户手机感染恶意程序后面临直接经济损失的可能性达到了近七成。

  报告公布了2013年第四季度感染量最高的十大恶意程序及其危害。这十大恶意程序中,有六款为吸费软件。

  读取联系人和手机固件信息,回传至指定网站,后台私自下载安装未知软件,造成用户资费消耗、隐私泄露。

  包含恶意广告插件,读取用户好友的QQ号码、QQ音乐内的播放记录、用户联系人信息、用户浏览器书签等隐私信息,造成用户隐私泄露。

  非官方版本代码被恶意篡改,运行后从服务器自动下载恶意代码,可下载未知应用程序安装包,给用户造成资费消耗。

  伪装成系统软件,存在危险行为代码,警惕该软件私自下载安装软件,泄露用户隐私,造成用户流量等资费消耗。

  包含恶意广告插件,读取用户好友的QQ号码、QQ音乐内的播放记录、用户联系人信息、用户浏览器书签等隐私信息,造成用户隐私泄露。

  该恶意程序私自发送扣费信息定制SP业务,同时删除回馈信息导致用户资费损失。

  伪装成系统软件,后台联网接收服务器指令,在用户手机收件箱中插入大量伪造短信。

  代码被恶意篡改,运行后从服务器自动下载恶意代码,可下载未知应用程序安装包,给用户造成资费消耗。

  2013年2月,360互联网安全中心截获34款新型Android手机木马,这些木马会自动下载各种软件,并伪装微信消息诱骗用户安装。下图为恶意程序伪装微信消息的手机截图。

  这些恶意程序会将自己伪装成“圆桌骑士”、“双截龙”、“侍魂”、“三国志”、“名将”、“雷电”、“合金弹头”等热门游戏,并在描述中加入如“绿色无广告版”等字样。用户一旦安装这些应用,手机就会联网接收黑客通过服务器发出的各种指令,远程控制手机,开始联网自动下载各种用于流氓推广的应用,并在下载过程中产生大量流量,消耗手机资费。

  2013年4月,360互联网安全中心截获到一批“借刀杀人”型手机恶意程序。与以往乱弹广告的恶意程序不同的是,这些恶意程序本身并不弹广告,而是让正常的微博、微信等应用频频弹出广告,不但消耗用户手机流量,更让用户误以为这是厂商自行在微博、微信上投放的广告。据统计,截至2013年4月底,携带此恶意广告插件的恶意程序将近300余款,感染量多达31万。下图为这些恶意程序导致微信、微博弹出广告的手机截图。

  分析发现,这些恶意程序主要是正常程序被植入了一种特殊的恶意广告插件。这个插件会暗中在后台启动监控服务功能,通过获取服务器指令,自动检测判断手机中是否含有微信、微博等应用,随即在这些正常应用界面中频繁弹出“精品推荐”等不同类别的广告。

  2013年上半年,360互联网安全中心截获了一个名为“欺诈信使”的手机木马。该木马通常会伪装成常用软件或游戏,一旦被安装到手机中,该木马就会读取手机内存和SIM卡内的联系人信息,并向所有联系人群发事先编辑好的诈骗短信。诈骗短信的常见内容是以在KTV等私人场所被警察抓获为由,让亲友将所谓的“保释金”汇入“某某的银行账户”。下图是360手机卫士拦截此木马读取个人信息和尝试发送短信时的截图。

  欺诈信使木马可以将任何一部手机变成垃圾短信或诈骗短信的群发器,没有固定的端口,这也给运营商的监管造成了很大难度。同时,由于收信者看到的发信号码是自己熟悉的亲人或朋友的号码,因此其迷惑性更强,更加难以识别。

  2013年5月,360互联网安全中心截获了一款名为“支付鬼手”的手机木马,该木马伪装成淘宝客户端,将用户输入的淘宝账号、密码以及支付密码通过短信暗中发送至黑客手机,同时诱导用户安装木马子包,木马子包会劫持用户收到的包含验证码在内的所有短信,并联网上传或直接转发至黑客手机。而黑客一旦收到这些信息,就会将用户支付宝财产洗劫。“支付鬼手”是当时截获的唯一一个具有完整盗窃支付账号能力的手机木马。下图为360手机卫士拦截“支付鬼手”木马安装及拦截该木马向黑客手机发送短信时的手机截图。

  下图为“支付鬼手”木马诱导用户安装名为“账户安全服务”的恶意子包的手机截图。

  “支付鬼手”木马主要是通过二维码、论坛等多渠道进行传播。黑客会将木马下载地址制作成二维码图片在网站及论坛传播,诱骗用户扫描下载,其安装包显示名称为“旺信内测版”或“跳蚤街”等名称。

  2013年6月,360互联网安全中心截获了一款“Backdoor.AndroidOS.Obad.a”的恶意程序。该木马的主要行为是偷偷发送短信为手机定制扣费业务,并下载更多的恶意程序。此外,为了在短时间内感染更多设备,已被感染的手机还会被控制自动搜索其他蓝牙设备,发送恶意程序并远程执行木马命令进行安装。

  而特别值得注意的是,该木马具备“反查杀,难解析,难卸载”等特性,是迄今为止发现的结构最复杂的Android木马之一。其独特之处在于该木马具备三层防查杀特性,使该木马不仅很难被发现,而且极难被卸载。此外,该木马还利用Android系统自身漏洞,将其注册为设备管理器且在列表中不显示,最终使木马程序无法关闭和卸载,使被感染的手机始终处于安全风险之中。

  下图为该木马在手机上的信息和被手机卫士拦截的情况截图。可以看出,该木马即无法被强行停止,也无法被直接卸载。

  不仅如此,该木马还利用了Android系统存在的另一种缺陷。使得该木马即便以一种错误的方式注册进设备管理器,Android系统也能让其注册成功,而用户却无法找到取消该木马管理权限的入口,此时木马便可随意在被感染手机中作恶。

  2013年7月2日,360互联网安全中心截获到一批恐怖的“尸潮”木马最新变种。该变种伪装成超过12000款热门手机应用进行传播,如“疯狂猜图”、“百度魔图”、“超音速飞行中文版3D”等。一旦安装这些被感染的应用,黑客就可随时通过远程操控,让手机在后台下载未知应用,大量消耗手机上网流量。“尸潮”是迄今为止消耗流量最多最快的手机木马。

  2013年8月15日,360互联网安全中心发布橙色预警,一批名为“扣费黑帮”的恶意扣费手机木马正在蔓延,感染软件数量高达惊人的5000余款。这类木马可使黑客远程操控中毒手机所发送的短信内容,让中毒手机不仅发送扣费短信,而且还会向亲友群发诈骗短信、广告信息等,使手机成为庞大的诈骗短信“肉鸡”手机群。

  “扣费黑帮”系列木马还具备少见的“反侦查”机制:该木马入侵手机后会首先检测手机中是否安装了安全软件,如果这些安全软件处于运行状态,则“扣费黑帮”不会触发恶意行为,隐蔽性和自我保护能力极强。

  2013年12月,有用户向360互联网安全中心反馈手机中有“杀不掉”的木马。据用户描述,他刚购买的手机经常莫名其妙地出现大量自己没有安装过的软件,消耗了大量流量,造成资费损失。该用户使用360手机卫士进行杀毒,发现手机中有三个预装的木马。但问题是,在清除这些木马之后,每次重新启动手机之后,又会出现同样的现象,并再次检测出存在木马。

  随后,360互联网安全中心对该用户的手机内进行了检测,在该用户手机内捕获到全球首个被写入Boot分区的手机木马,并将其命名为“不死木马”(英文命名为Oldboot)。这是目前已知的最难清除的手机木马,目前在国内的手机感染量已经超过50万部。

  该木马的主要行为是频繁联网,下载大量推广软件,造成流量资费损失并将手机电量迅速耗尽。此外,通过对该木马的代码分析还发现,该木马还拥有卸载其他软件和劫持短信发送给任意手机号的功能。

  由于该木马被写入了手机磁盘引导区,因此,清除木马之后,只要重新启动手机,该木马又会被重新载入。木马病毒感染磁盘引导区的攻击方法在个人电脑领域并不罕见,但在智能手机领域尚属首次被发现。检测显示,目前世面上的绝大多数手机安全软件都无法彻底清除该木马。用户一旦发现手机感染了该木马,需要使用专杀工具才能将其彻底清除。

  综合木马特征和用户反馈的情况来看,“不死木马”目前的主要传播方式应该是在手机流通销售的某个环节被人工手动刷入的。(起力)

网站编辑:爱发168

爱发168 相关信息

    无相关信息
网易账号安全中心

www.g22.com

网易账号安全中心 360公布十大手机恶意程序 木马伪装微信消息传播(全文