近日,央视新闻频道曝光了由360捕获的全球首个安卓手机木马 “不死木马”。它会偷偷下载大量色情软件,造成话费损失,国内感染手机超50万。与以往所有木马不同的是,该木马被写入手机磁盘引导区,全球任何杀毒软件均无法彻底将其清除,即使可以暂时查杀,但在手机(中国手机行业发展研究报告)重启后,木马又会“复活”。
该木马的出现,牵出了国内一个制造手机木马、刷入手机木马、将带毒手机出售给消费者的庞大神秘黑色产业链。此前一直有报道称某些IT卖场的商家会将手机木马植入手机中,但由于手机木马也可以通过网络传播进行远程攻击,所以并未抓到确凿证据。而此次360捕获的“不死木马”则和之前的不同。
据360手机安全专家朱翼鹏分析,“不死木马”被植入手机磁盘引导区有两种方法:1)攻击者曾物理地接触到被感染手机,并将包含了恶意文件的boot.img镜像文件刷到设备的boot分区中;2)在系统运行期间,获得root权限之后,通过dd工具将恶意文件强行地写入到磁盘的boot分区中。
但目前所有的证据都支持第一种可能性。首先,360得到的受害者被感染手机样本购买于中关村的某大型IT卖场,并非购买于官方渠道。其次,被感染设备(Galaxy Note II)安装了Samsung官方的系统,其中的普通系统软件均包含有效的Samsung官方签名,但是recovery分区已经被替换为一个第三方的ROM。此外,boot分区下的所有文件都拥有相同的时间戳。最后,基于360的云安全技术,所有被感染设备的型号中,超过一半都不是流行的大众机型。而如果采用第二种攻击方法进行远程感染,目标是随机不可控的,被感染设备型号分布应该更接近于Android设备的市场分布情况。
所以,可以断定,“不死木马”是在手机的流通和销售的某个环节,被人手工刷入手机中,再将带毒手机卖给消费者的。而此次出现的“不死木马”,单个木马感染量高达50万,可以预计,未来将会出现更多这种人工刷入手机磁盘引导区的木马,对消费者资费安全造成严重威胁。