央视经济半小时曝光“不死木马”移动支付安全引担忧

360防火墙

http://science.china.com.cn/2014-02/27/content_31615982.htm

央视经济半小时曝光“不死木马”移动支付安全引担忧
科学中国-中国网 science.china.com.cn　　时间： 2014-02-27　　责任编辑: 海峰
2月26日，央视经济频道《经济半小时》节目曝光了由360捕获的全球首个安卓手机木马 “不死木马”。央视记者证实发现，“不死”木马会偷偷下载大量色情软件，造成话费损失，国内感染手机超50万。与以往所有木马不同的是，该木马被写入手机磁盘引导区，除360手机卫士外，全球任何杀毒软件均无法彻底将其清除，即使可以暂时查杀，但在手机重启后，木马又会“复活”。目前360手机卫士已经全球首家发布了专杀工具，可第一时间检测到该木马，并使其彻底失效，请安卓用户尽快下载最新版进行查杀。



图：央视提示警惕“不死木马”逆袭安卓手机


央视记者采访了360手机安全工程师，据工程师介绍， “不死木马”通过人工刷入被感染设备的磁盘引导区，可以获得极早地启动优先级和最高的运行权限，有效避免被杀毒软件清除并更有效地隐藏自身。而目前全球所有手机安全软件（除360手机卫士外），即使可暂时报毒和清除恶意代码，在手机重启后，“不死木马”也会再次“复活”，继续“吸费”。

该木马的主要行为是下载大量推广软件，造成流量话费损失；频繁联网，造成电量迅速消耗。而据360手机安全工程师介绍，该木马拥有极高的权限，其实可以完全控制手机，甚至可以实现打电话、发短信、录音等多种侵害行为。


不死木马牵出十亿刷机黑色产业链


该木马的出现，牵出了国内一个制造手机木马、刷入手机木马、将带毒手机出售给消费者的庞大神秘黑色产业链。

此前一直有报道称某些IT卖场的商家会将手机木马植入手机中，但由于手机木马也可以通过网络传播进行远程攻击，所以并未抓到确凿证据。而此次360捕获的“不死木马”则和之前的不同。

据360手机安全专家朱翼鹏分析，“不死木马”被植入手机磁盘引导区有两种方法：

1）攻击者曾物理地接触到被感染手机，并将包含了恶意文件的boot.img镜像文件刷到设备的boot分区中；

2）在系统运行期间，获得root权限之后，通过dd工具将恶意文件强行地写入到磁盘的boot分区中。



图：360工程师揭秘不死木马背后产业链

但目前所有的证据都支持第一种可能性。首先，360得到的受害者被感染手机样本购买于中关村的某大型IT卖场，并非购买于官方渠道。

其次，被感染设备（Galaxy Note II）安装了Samsung官方的系统，其中的普通系统软件均包含有效的Samsung官方签名，但是recovery分区已经被替换为一个第三方的ROM。此外，boot分区下的所有文件都拥有相同的时间戳。

最后，基于360的云安全技术，所有被感染设备的型号中，超过一半都不是流行的大众机型。而如果采用第二种攻击方法进行远程感染，目标是随机不可控的，被感染设备型号分布应该更接近于Android设备的市场分布情况。

所以，可以断定，“不死木马”是在手机的流通和销售的某个环节，被人手工刷入手机中，再将带毒手机卖给消费者的。

而据360手机卫士统计，目前国内感染该木马的手机超过了50万台。那么，是谁制造了这个木马？是谁将木马刷入了受害者的手机中？有多少人参与了这条“黑色产业链”？有多少受害者还在被暗中“吸费”？。

据360手机安全专家朱翼鹏介绍，保守估计国内年水货手机销量近2000万部，庞大的水货市场衍生出了刷机产业链，但已知的刷机主要以刷应用软件，赚取推广费为主，按照每部50元计算，保守估计这个产业链最少是10亿级别。

比如，深圳水货手机入关后，立刻就会淹没在刷机产业链中，大部分人拿到手的手机已经预装各类软件应用。一部从深圳华强北流出来的手机，到消费者手中时，也许已被刷过五六次，每次刷机，大水货批发商、小一级批发商以及全国水货网点都会把各种软件刷入，并向软件开发商收预装费。一般来说，一个软件收取1元到10元不等。

而此次出现的“不死木马”，单个木马感染量高达50万，可以预计，未来将会出现更多这种人工刷入手机磁盘引导区的木马，对消费者资费安全造成严重威胁。


面对此类安全隐患 消费者如何防范？


在360手机卫士最新版进行查杀之外，360手机安全专家还建议：

定期更新360手机卫士，及时查杀“不死木马”后续变种；

在专杀工具检测到“不死木马”后，将机型信息和样本上报给我们，可以帮助我们更好地发现新的变种，保卫更多用户的手机安全；

由于只有系统被篡改的手机设备才会感染“不死木马”，如果使用360专杀工具检测到“不死木马”，您也可以直接联系手机的经销商，协商售后事宜；

此外，360手机安全专家表示，“不死木马”通过物理接触或磁盘操作将自身写入boot分区，并改写init.rc脚本，是一个具有标志性意义的手机木马。这种攻击技术可能在将来被其他木马所使用，造成安卓反病毒事业上下一轮艰难的攻防对抗。360手机卫士将继续密切关注这类攻击的发展并提供安全保护方案，请360用户放心。

老机子

好吧 我会说我是2G手机 只能打电话吗？！
——我的PC倒是铜墙铁壁，谁来攻击！

huazi922

很少玩手机的，手机买来的时候，自己就装了360手机卫士

daojianwuhen

图片没贴上

沧桑浪子

求视频地址！这个360手机卫士上可以下载专杀的！

利刀1937

这个在微博上就第一时间看到了。就事论事来说，我大360确实威武了一把。记得当时360发布专杀一周的时候，手机管家官微说自己也是全球首款专杀，，还被手机卫士转发并评论“360手机卫士专杀发布后一周的全球首款”。。。

利刀1937

沧桑浪子 发表于 2014-2-27 22:01
求视频地址！这个360手机卫士上可以下载专杀的！

http://tv.cntv.cn/video/C10329/90c168343ea44d35922f12a6187a4865

killloop

同样的手法  从电脑盗版系统用在手机刷机包

游离状态

我只想说、全球除360之外，这也太。。。。。。。。。。。。。那啥了吧