4月 062012
 

腾讯科技讯 4月6日消息,AVG中国实验室监测到了DroidKongFu的最新升级版本——“暗影杀手”。经过此番武力升级,其手段暴增,可直接利用用户获取Root权限后的弊端,篡改内核系统文件,至此常年潜伏于暗处,让用户的手机受到持久性创伤狠。

“暗影杀手”利用root权限,修改系统引导项,以此来获得更早的加载,备份系统文件“debuggerd”、“vold”,并将其替换,借此深植至系统内核。这一方式增加了安全工具对其检测及清除的难度。相比较于PC系统的bootkit病毒,“暗影杀手”还处于早期阶段。他获得boot启动的方式是较容易的。PC下的bootkit则要修改内核代码才能获得二次控制权限,为后面的加载恶意驱动做准备,同时恶意驱动还会再保护boot代码。“暗影杀手”并没有对自身的boot代码的保护,但这点并不难于编程实现。所以我们可以预见android系统的bootkit是十分危险的,随着此项技术的披露,今后可能会产生更多的改进攻击方式。

“暗影杀手”藏身于暗处,采取了多种隐藏手段,安装包内暗藏“***.so”库文件,而病毒主要ELF文件又藏身于“***.so”库文件。

库文件读取自身包含的ELF文件数据:

将大量字符加密,包括远程控制指令、部分服务器信息、自身所需变量信息等:

同时,主APK文件还获取了大量敏感信息并发送:

目前已发现大量感染样本包含常用软件及流行游戏,其中不泛有本身就需要ROOT权限的程序,使用户鉴别难度极大增加:

主要危害:

·植入后门,可使用病毒远程操作用户手机(下载、运行、删除…)。

·破坏操作系统内核完整性。

·发送敏感信息,导致用户隐私泄露。

如何防范:

1、 Root手机需谨慎,对待需要Root权限的程序更需谨慎。

2、 针对目前恶意修改应用的情况,用户应尽量去市场下载知名厂商的应用,或直接登录该厂商的官方网站下载。

3、 针对目前中国用户的特殊情况,选择市场亦应选择较为正规的市场去下载应用。

4、 如果您勾选了“未知源”,请谨慎对待您所安装的程序。

5、 对于此类病毒防范重于清理,望广大用户提升安全意识。

( 责任编辑: 屈伟 )

 Leave a Reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(required)

(required)