安卓手機(jī)驚現(xiàn)“替死鬼”木馬 利用正常APP“金蟬脫殼”

5月30日消息，360技術(shù)博客發(fā)布了一份技術(shù)研究報(bào)告稱，360手機(jī)安全中心截獲了一批“極其猥瑣”的手機(jī)惡意程序。這類惡意程序?qū)⒄媸謾C(jī)APP的apk(安卓APP的安裝文件)集成到惡意程序中。在惡意程序運(yùn)行后，釋放并安裝正版應(yīng)用并將自身圖標(biāo)隱藏，利用這種辦法迷惑用戶，“金蟬脫殼”般躲避手機(jī)用戶發(fā)現(xiàn)和查殺。目前，360手機(jī)衛(wèi)士已揪出背后真正的木馬文件——“替死鬼”木馬。360手機(jī)安全專家建議，發(fā)現(xiàn)例如“明星衣櫥”之類的應(yīng)用請(qǐng)盡快使用360手機(jī)衛(wèi)士進(jìn)行掃描查殺。

報(bào)告顯示，“替死鬼”木馬首先將正版APP和相關(guān)配置文件打包到木馬程序的“assets”目錄下，然后調(diào)用PackageManager(系統(tǒng)函數(shù))中的setComponentEnabledSetting方法把自己的com.sysimg.image2.MainActivity禁用掉，這樣自身圖標(biāo)會(huì)在系統(tǒng)的啟動(dòng)器中消失。隨后啟動(dòng)系統(tǒng)安裝程序，將正版APP釋放并安裝進(jìn)手機(jī)。

360手機(jī)安全專家通過(guò)對(duì)比發(fā)現(xiàn)，兩張截圖中的圖標(biāo)一樣(如下圖紅框標(biāo)注)，看不出任何差別，但是他們卻是指向不同的程序，左圖啟動(dòng)的是惡意樣本(啟動(dòng)后隱藏)，而右圖啟動(dòng)的卻是正常程序(被安裝APK圖標(biāo))。此時(shí)，惡意程序已經(jīng)“金蟬脫殼”，隱匿于后臺(tái)。手機(jī)用戶對(duì)此真假難辨，即使卸載，也是卸載正常的APP。

圖1：左圖為樣本的圖標(biāo)，右圖為樣本安裝的原版APK圖標(biāo)

360手機(jī)安全中心分析發(fā)現(xiàn)，“替死鬼木馬”通過(guò)監(jiān)聽(tīng)手機(jī)用戶解鎖手機(jī)、安裝或刪除APP的操作來(lái)激發(fā)惡意行為。當(dāng)木馬運(yùn)行后，手機(jī)會(huì)在桌面出現(xiàn)大量帶有誘惑性的快捷方式，引誘用戶點(diǎn)擊，一旦點(diǎn)擊就會(huì)觸發(fā)下載行為，不但造成上網(wǎng)流量的大量消耗，其下載的程序安全性更不能保證：有可能是危害更為嚴(yán)重的其他木馬文件。

圖2：“替死鬼”木馬會(huì)在手機(jī)桌面釋放大量誘惑性圖標(biāo)誘惑手機(jī)用戶下載

360手機(jī)安全專家指出，這類“替死鬼”木馬換個(gè)圖標(biāo)、換個(gè)正版APK就可批量生產(chǎn)，很容易就能造成大范圍傳播。因此建議手機(jī)用戶使用360手機(jī)衛(wèi)士安全防護(hù)功能查殺這類木馬，并從360手機(jī)助手等正規(guī)市場(chǎng)下載手機(jī)APP。

360手機(jī)衛(wèi)士最新版下載地址：

http://shouji.#

“替死鬼”木馬技術(shù)研究報(bào)告地址：

http://blogs.#/360mobile/2014/05/30/false_scent_apk_file/