AVG：“暗影杀手”周末奇袭安卓系统

    泡泡网安全相关频道4月6日 今日最新消息，AVG中国实验室监测到了DroidKongFu的最新升级版本——“暗影杀手”。经过此番武力升级，其手段暴增，可直接利用用户获取Root权限后的弊端，篡改内核系统文件，至此常年潜伏于暗处，让用户的手机受到持久性创伤，可谓又阴又狠。

    据悉，“暗影杀手”利用root权限，修改系统引导项，以此来获得更早的加载，备份系统文件“debuggerd”、“vold”，并将其替换，借此深植至系统内核。这一方式增加了安全工具对其检测及清除的难度。相比较于PC系统的bootkit病毒，“暗影杀手”还处于早期阶段。他获得boot启动的方式是较容易的。PC下的bootkit则要修改内核代码才能获得二次控制权限，为后面的加载恶意驱动做准备，同时恶意驱动还会再保护boot代码。“暗影杀手”并没有对自身的boot代码的保护，但这点并不难于编程实现。所以我们可以预见android系统的bootkit是十分危险的，随着此项技术的披露，今后可能会产生更多的改进攻击方式。

    “暗影杀手”藏身于暗处，采取了多种隐藏手段，安装包内暗藏“***.so”库文件，而病毒主要ELF文件又藏身于“***.so”库文件。

    库文件读取自身包含的ELF文件数据：

    将大量字符加密，包括远程控制指令、部分服务器信息、自身所需变量信息等。同时，主APK文件还获取了大量敏感信息并发送：

    据介绍，目前已发现大量感染样本包含常用软件及流行游戏，其中不泛有本身就需要ROOT权限的程序，使用户鉴别难度极大增加：

    主要危害：

    *植入后门，可使用病毒远程操作用户手机（下载、运行、删除…）。
    *破坏操作系统内核完整性。
    *发送敏感信息，导致用户隐私泄露。

    如何防范：

    1、Root手机需谨慎，对待需要Root权限的程序更需谨慎。
    2、针对目前恶意修改应用的情况，用户应尽量去市场下载知名厂商的应用，或直接登录该厂商的官方网站下载。
    3、针对目前中国用户的特殊情况，选择市场亦应选择较为正规的市场去下载应用。
    4、如果您勾选了“未知源”，请谨慎对待您所安装的程序。
    5、对于此类病毒防范重于清理，望广大用户提升安全意识。

        如果您只想简单的用好您的手机，并不想思考那么多琐碎的安全细节，您可以直接从谷歌Android应用商店下载安装AVG手机反病毒软件。■