聚氨酯保温板厂家
免费服务热线

Free service

hotline

010-00000000
聚氨酯保温板厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

安卓手机惊现替死鬼木马利用正常APP金蝉脱壳

发布时间:2021-01-21 04:30:26 阅读: 来源:聚氨酯保温板厂家

5月30日消息,360技术博客发布了一份技术研究报告称,360手机安全中心截获了一批“极其猥琐”的手机恶意程序。这类恶意程序将正版手机APP的apk(安卓APP的安装文件)集成到恶意程序中。在恶意程序运行后,释放并安装正版应用并将自身图标隐藏,利用这种办法迷惑用户,“金蝉脱壳”般躲避手机用户发现和查杀。目前,360手机卫士已揪出背后真正的木马文件——“替死鬼”木马。360手机安全专家建议,发现例如“明星衣橱”之类的应用请尽快使用360手机卫士进行扫描查杀。

报告显示,“替死鬼”木马首先将正版APP和相关配置文件打包到木马程序的“assets”目录下,然后调用PackageManager(系统函数)中的setComponentEnabledSetting方法把自己的inActivity禁用掉,这样自身图标会在系统的启动器中消失。随后启动系统安装程序,将正版APP释放并安装进手机。

360手机安全专家通过对比发现,两张截图中的图标一样(如下图红框标注),看不出任何差别,但是他们却是指向不同的程序,左图启动的是恶意样本(启动后隐藏),而右图启动的却是正常程序(被安装APK图标)。此时,恶意程序已经“金蝉脱壳”,隐匿于后台。手机用户对此真假难辨,即使卸载,也是卸载正常的APP。图1:左图为样本的图标,右图为样本安装的原版APK图标

360手机安全中心分析发现,“替死鬼木马”通过监听手机用户解锁手机、安装或删除APP的操作来激发恶意行为。当木马运行后,手机会在桌面出现大量带有诱惑性的快捷方式,引诱用户点击,一旦点击就会触发下载行为,不但造成上网流量的大量消耗,其下载的程序安全性更不能保证:有可能是危害更为严重的其他木马文件。

图1:左图为样本的图标,右图为样本安装的原版APK图标

360手机安全中心分析发现,“替死鬼木马”通过监听手机用户解锁手机、安装或删除APP的操作来激发恶意行为。当木马运行后,手机会在桌面出现大量带有诱惑性的快捷方式,引诱用户点击,一旦点击就会触发下载行为,不但造成上网流量的大量消耗,其下载的程序安全性更不能保证:有可能是危害更为严重的其他木马文件。

图2:“替死鬼”木马会在手机桌面释放大量诱惑性图标 诱惑手机用户下载

360手机安全专家指出,这类“替死鬼”木马换个图标、换个正版APK就可批量生产,很容易就能造成大范围传播。因此建议手机用户使用360手机卫士安全防护功能查杀这类木马,并从360手机助手等正规市场下载手机APP。

360手机卫士最新版下载地址:

“替死鬼”木马技术研究报告地址:

水浒乱斗官网正式版

三国列传BT(高额返利)

战略三国破解版