当前位置:主页 > 状元红高手心水论坛 > 正文
权限杀手新变种报告
发布机构:本站原创    浏览次数:次 发布时间:2019-09-29

  2013年,ROM级内嵌手机病毒“权限杀手”曝光,该病毒通过删除其他应用获取系统ROOT所使用的关键文件,达到自己不被其他应用获取系统ROOT删除的目的,进而实施一系列作恶行为。通过云数据分析,该木马在近一年多的时间持续活跃,并且在2015年上半年突然爆发。 此次爆发的权限杀手最新变种,其系统模块、作恶手段均有所改进。通过调查分析,木马主要内嵌在手机ROM中通过刷机网站快速传播,此外还包括部分水货手机用户,到目前为止,国内受影响用户达50万之多,其中超过60%是近半年内新受到感染的用户。 到目前为止,国内刷机市场累计有接近300 个ROM预置了该木马,数量还在进一步增加,其中超过80%的ROM是今年上半年发布的。这些ROM主要影响的手机品牌包括三星、联想、华为、小米、HTC等,几乎涵盖了所有市场主流的Android手机品牌。平码开奖记录风物长宜放眼量,。我们对权限杀手手机病毒影响地区进行分析,发现该病毒除了主要感染国内用户外,全球范围的手机用户也有感染的迹象,对国外用户的感染主要集中在三星品牌的手机中。

  PageViwer启动之后会收集用户手机信息,将信息发送至远端服务器,服务器根据手机信息判断需要分发的云端指令,PageViwer接收指令并完成指令解析。此后,PageViwer会将指令推送至searchcone模块执行,并下载启动Markserv模块。

  searchcone是预置在ROM的另一个模块,该模块主要负责指令的执行,它首先会检测输入参数,在参数正确的情况下获取ROOT权限,最后执行命令。

  Markserv是PageViwer下载的一个模块,由searchcone进行安装执行,但在部分ROM中,我们也发现了被预置的情况存在。 Markserv功能有:

  在权限杀手整个进化过程中,不可忽视的一点是,从早期将searchcone的文件名硬编码到APK中不同,最新版本的权限杀手,已经将APK和ELF之间的关联完全切断,APK需要操作的ELF文件名,完全由云端传入。这样,根据当前APK找到对应ELF文件将非常困难,由于ELF功能单一,并且参数检测严格,脱离了APK,很难独立判断黑白,大大降低了ELF模块的查杀率。而APK开发成本低,更新换代快,也大大提高了该木马的生存机会。

  “权限杀手”主要通过主流的刷机网站进行传播,据调查结果看到,刷机网站对ROM安全问题的把控能力不容乐观,ROM安全问题令人堪忧。此次内嵌该木马的上百个ROM文件几乎都同时打上了安全认证的标签,使得用户放松了警惕,这也是造成该木马流行传播的主要原因。例如:

  如上所示,绝大部分预置“权限杀手”木马的手机ROM和以上图片一样,在发布时都带有“已通过腾讯ROM安全联盟认证”的标识,降低了用户的警惕性。

  针对此类问题,我们建议大家从官方渠道购买手机,对于刷机用户,尽量从官方指定的渠道获取手机ROM,对于标注各种认证的手机ROM也不能掉以轻心,同时,也可以联系我们帮忙鉴定ROM的安全性。目前,360手机急救箱全面支持该木马所有变种的查杀与修复,如果您的手机ROM正好在我们发布的问题ROM列表里边,或者经常遇到无故损失流量、扣费等问题,建议到下载360手机急救箱进行扫描:


Copyright 2017-2023 http://www.678chain.com All Rights Reserved.

水果奶奶| 一码中特| 白姐图库| 创富图库| 今期藏宝图| 开奖结果| 三中三| 开奖结果| 白姐图库| 开奖结果| 彩富网| 六合开奖结果| 马报| 开奖记录| 一肖中特|