植入方法
據360安全專家分析,“不死木馬”被植入手機磁碟引導區有兩種方法:
1)攻擊者曾物理地接觸到被感染手機,並將包含了惡意檔案的boot.img鏡像檔案刷到設備的boot分區中;
2)在系統運行期間,獲得root許可權之後,通過dd工具將惡意檔案強行地寫入到磁碟的boot分區中。
不死木馬但所有的數據都支持第一種可能性,首先,360得到的被感染手機購買於中關村[10.08% 資金 研報]某大型IT賣場,並非購買於官方渠道。
其次,被感染設備(Galaxy Note II)安裝了Samsung官方的系統,其中的普通系統軟體均包含有效的Samsung官方簽名,但是recovery分區已經被替換為一個第三方的ROM。此外,boot分區下的所有檔案都擁有相同的時間戳(2013-05-08 17:22)。
最後,基於360的雲安全技術,所有被感染設備的型號中,超過一半都不是流行的大眾機型。而如果採用第二種攻擊方法進行遠程感染,目標是隨機不可控的,被感染設備型號分布應該更接近於Android設備的市場分布情況。
所以,可以斷定,“不死木馬”是在手機的流通和銷售的某個環節,被人手工刷入手機中,再將帶毒手機賣給消費者的。
基本介紹
而據360手機衛士統計,國內感染該木馬的手機超過了50萬台。那么,是誰製造了這個木馬?是誰將木馬刷入了受害者的手機中?有多少人參與了這條“黑色產業鏈”?有多少受害者還在被暗中“吸費”?。
據360安全專家介紹,保守估計國內年水貨手機銷量近2000萬部,龐大的水貨市場衍生出了刷機產業鏈,但已知的刷機主要以刷套用軟體,賺取推廣費為主,按照每部50元計算,保守估計這個產業鏈最少是10億級別。
而此次出現的“不死木馬”,單個木馬感染量高達50萬,證明還有另外一個專門製造木馬,刷入木馬的黑色產業鏈存在。以“不死木馬”的複雜程度而言,可以預計,未來將會出現更多這種人工刷入手機磁碟引導區的木馬,對消費者資費安全造成嚴重威脅。
如何防範
為此,安全專家提醒消費者:手機如果莫名其妙的出現奇怪的軟體,要儘快下載不死木馬”(oldboot)專殺工具查殺;選擇正規的銷售渠道購買手機,避免買到被刷入木馬的手機;安裝手機安全軟體並及時更新,定期防毒,防範各類手機木馬。
