AVG:“暗影杀手”周末奇袭安卓系统
泡泡网安全相关频道4月6日 今日最新消息,AVG中国实验室监测到了DroidKongFu的最新升级版本——“暗影杀手”。经过此番武力升级,其手段暴增,可直接利用用户获取Root权限后的弊端,篡改内核系统文件,至此常年潜伏于暗处,让用户的手机受到持久性创伤,可谓又阴又狠。
据悉,“暗影杀手”利用root权限,修改系统引导项,以此来获得更早的加载,备份系统文件“debuggerd”、“vold”,并将其替换,借此深植至系统内核。这一方式增加了安全工具对其检测及清除的难度。相比较于PC系统的bootkit病毒,“暗影杀手”还处于早期阶段。他获得boot启动的方式是较容易的。PC下的bootkit则要修改内核代码才能获得二次控制权限,为后面的加载恶意驱动做准备,同时恶意驱动还会再保护boot代码。“暗影杀手”并没有对自身的boot代码的保护,但这点并不难于编程实现。所以我们可以预见android系统的bootkit是十分危险的,随着此项技术的披露,今后可能会产生更多的改进攻击方式。
“暗影杀手”藏身于暗处,采取了多种隐藏手段,安装包内暗藏“***.so”库文件,而病毒主要ELF文件又藏身于“***.so”库文件。
库文件读取自身包含的ELF文件数据:
将大量字符加密,包括远程控制指令、部分服务器信息、自身所需变量信息等。同时,主APK文件还获取了大量敏感信息并发送:
据介绍,目前已发现大量感染样本包含常用软件及流行游戏,其中不泛有本身就需要ROOT权限的程序,使用户鉴别难度极大增加:
主要危害:
*植入后门,可使用病毒远程操作用户手机(下载、运行、删除…)。
*破坏操作系统内核完整性。
*发送敏感信息,导致用户隐私泄露。
如何防范:
1、Root手机需谨慎,对待需要Root权限的程序更需谨慎。
2、针对目前恶意修改应用的情况,用户应尽量去市场下载知名厂商的应用,或直接登录该厂商的官方网站下载。
3、针对目前中国用户的特殊情况,选择市场亦应选择较为正规的市场去下载应用。
4、如果您勾选了“未知源”,请谨慎对待您所安装的程序。
5、对于此类病毒防范重于清理,望广大用户提升安全意识。
如果您只想简单的用好您的手机,并不想思考那么多琐碎的安全细节,您可以直接从谷歌Android应用商店下载安装AVG手机反病毒软件。■