zoukankan      html  css  js  c++  java
  • “史上最强Android木马”现身?360手机安全专家全面剖析

    最近有媒体爆料,最高级的Android木马已经现身,据称“它能利用Android操作系统此前未知的漏洞提升程序权限,并能阻止被卸载。”该恶意程序被称为“Backdoor.AndroidOS.Obad.a”,其恶意行为是通过悄悄向增值服务号码发送短信获利。利用Android未曾发现漏洞并且无法卸载,“史上最强Android木马”有多神奇?就此,360手机安全专家为我们做了深度剖析,详解攻破“最强木马”三层防查杀的整个过程。 第一层:封堵病毒分析主要入口阻止安全工程师获取安全信息 首先,360手机安全专家发现,该木马为逃避杀毒软件查杀确实煞费苦心。它在代码中采取了一些专门针对病毒分析人员的措施,为安全公司分析它增加难度。例如,大多数安全公司分析Android木马样本时,通常采用AXML解析工具来解析样本的主配置文件AndroidManifest.xml文件。该文件包含了Android应用的主要模块入口信息,是木马分析时的重要线索。Obad.a木马故意构造了一个非标准的AndroidManifest.xml文件,使得病毒分析人员无法得到完整数据。
     
    第二层:对指令代码进行特殊处理阻止反编译 该木马除了对代码进行加密处理以外,还通过对指令代码进行特殊处理,使得安全公司常用的Java反编译工具无法正确地反编译其指令,增加对木马的分析难度:
     
      第三层:利用系统缺陷阻止用户卸载 该木马为防止被用户发现后卸载煞费苦心。Android系统从2.2版本开始,提供了一个“设备管理器”的功能,其初衷是为企业部署远程IT控制使用,为了防止员工私自卸载企业安装的“设备管理器”,一旦激活设备管理器之后,该设备管理器就不可删除。但是,由于Android系统对此功能设计的不完善,使得木马可以利用这个机制,让自己注册成为一个设备管理器,从而阻止用户卸载。木马首先会提示用户“激活设备管理器”:
     
    而一旦用户不慎点了“激活”,那么木马就被注册成了设备管理器,此时该木马的“强行停止”和“卸载”按钮将完全失效,即,木马无法关闭,也无法卸载:
     
      最可怕的是,设备管理器还存在一定缺陷,当木马故意以一种错误的方式来注册设备管理器时,Android系统也能让它注册成功,但是在设备管理器列表中不会显示。用户因此找不到取消注册设备管理器入口,无法取消木马的设备管理权限。
     
      系统中甚至不会列出木马所注册的设备管理器
      Android未知漏洞去年已发现360手机卫士已可查杀相关木马 如此精心布防给安全厂商带来不小的难度,据360手机安全专家介绍,360拥有强大的“动态沙箱分析系统”,当“Backdoor.AndroidOS.Obad.a”木马试图窃取用户隐私、发送短信吸费时,360的主动防御系统会进行拦截,提醒用户木马正在尝试获取本机号码等危险操作:
     
    而“Backdoor.AndroidOS.Obad.a”木马所利用的Android系统未知漏洞,360手机安全中心在2012年早已率先发现。据360手机安全专家介绍,去年在分析一款名为“LockMe”的应用时,发现其触发了Android的一个系统缺陷,导致无法正常卸载。 “史上最强Android木马”虽然没有传说中那么危言耸听,但仍需小心警惕。360手机安全专家介绍,手机只需要安装最新版本的360手机卫士,就可以联网查杀该木马。不过还是建议用户 1.如果安装应用提示注册设备管理器时,应确认这是可靠的应用; 2.如果用户不慎激活了设备管理器,导致应用无法被卸载时,可以用360手机卫士“软件管家”的强力卸载功能将其彻底卸载。 3.启用360手机卫士的主动防御功能,可拦截未知木马。 4.及时升级360手机卫士最新病毒库,定期联网云查杀,以查杀最新的木马和病毒。 来自飞象网
  • 相关阅读:
    BZOJ2219数论之神——BSGS+中国剩余定理+原根与指标+欧拉定理+exgcd
    Luogu 3690 Link Cut Tree
    CF1009F Dominant Indices
    CF600E Lomsat gelral
    bzoj 4303 数列
    CF1114F Please, another Queries on Array?
    CF1114B Yet Another Array Partitioning Task
    bzoj 1858 序列操作
    bzoj 4852 炸弹攻击
    bzoj 3564 信号增幅仪
  • 原文地址:https://www.cnblogs.com/vsdot/p/3263397.html
Copyright © 2011-2022 走看看