金山手機衛(wèi)士：手機病毒GacBlocker偽裝輸入法 云控制巧隱藏暗算話費

據(jù)媒體報道，通過手機刷機來推廣軟件已形成完整產(chǎn)業(yè)鏈，在手機賣場，許多商家刷機甚至是免費的。免費刷機在學(xué)雷鋒嗎?不，為刷機付出高昂代價的，仍是消費者。近日，金山手機安全中心捕獲一個設(shè)計精巧隱蔽性極好的Android手機后門病毒GacBlocker，中毒用戶被扣費卻渾然不覺。

金山手機安全專家指出，這個手機后門程序會偽裝成輸入法組件。病毒寄生在一些非官方的刷機包中，如果不幸使用這種刷機包，你的手機就會被偷偷扣費。

圖1 GacBlocker手機病毒偽裝成輸入法組件

金山手機安全中心對這個GacBlocker病毒進行了詳細分析，發(fā)現(xiàn)這個后門堪稱目前隱蔽性最好的手機后門程序，中毒后極難被手機用戶發(fā)現(xiàn)。這個手機病毒有以下功能：

1.上傳手機信息，包括手機IMEI、IMSI、手機型號、系統(tǒng)版本、病毒包名、版本信息等。這些信息都是手機隱私信息的重要內(nèi)容，對這些信息進行數(shù)據(jù)分析可統(tǒng)計病毒激活量，目標(biāo)用戶的基本情況，以及其他商業(yè)價值。

2.通過網(wǎng)絡(luò)或短信遠程控制中毒手機，遠程發(fā)出任意指令，手機完成相應(yīng)任務(wù)。

3.檢測到WiFi網(wǎng)絡(luò)和手機鎖屏?xí)r，接收云端指令，將云端指令下載到任務(wù)列表。分析發(fā)現(xiàn)任務(wù)列表是撥打電話或發(fā)送短信，發(fā)送短信的號碼、內(nèi)容及要撥打的電話號碼由云端指令控制。

4.攔截10086短信，這是手機扣費病毒的常見現(xiàn)象，10086的短信被攔截刪除，手機的消費記錄就不會被用戶發(fā)現(xiàn)。

5.查詢手機余額，通過發(fā)送查詢指令，病毒可獲悉每部中毒手機的余額。分析師推測，病毒這樣做的目的是由云端發(fā)送不同內(nèi)容的扣費短信。在獲取最大利益的同時，避免被用戶發(fā)現(xiàn)。

6.病毒的高超隱藏伎倆：以上動作僅在鎖屏?xí)r進行，任務(wù)完成，立刻退出。這就造成一般的檢查方法，無法感知到手機病毒的存在。

金山手機安全專家指出，目前監(jiān)測的數(shù)據(jù)看，每天大約有數(shù)千部Android智能手機被感染。因GacBlocker手機病毒主要通過刷機包傳播，推測主要受害者是購買水貨手機的用戶。

在沒有使用root工具獲得系統(tǒng)權(quán)限之前，刷機包內(nèi)置的病毒不能用簡單方法清除，中毒用戶會發(fā)現(xiàn)金山手機衛(wèi)士報毒卻清除失敗。此時，有兩個選擇來清除GacBlocker手機病毒：

1.從手機廠商官方網(wǎng)站下載對應(yīng)手機型號的刷機包，重新刷機。

2.電腦安裝手機root工具(相當(dāng)于越獄，以獲得完全的系統(tǒng)權(quán)限)，然后再用金山手機衛(wèi)士殺毒。

防御方法：

1.盡量從Android官方市場安裝軟件，如果要使用第三方Android市場發(fā)行的軟件，應(yīng)注意查看其他用戶評價?；蛘?，安裝Android軟件時，注意查看權(quán)限要求。不可盲目點擊下一步。

2.盡量不使用非官方刷機包，不少刷機包是被人為改造后植入后門。

3.新購買的水貨手機，最好重新用官方刷機包重刷一次，消除隱患。