「蜥蜴尾」木馬感染80萬部手機 360手機急救箱首家查殺

2023-07-11 02:34:07 1

　　手機病毒正在變得越來越「擬人化」。日前，360手機安全中心發現了首次在Android系統中通過感染方式進行自我保護的木馬病毒——「蜥蜴尾」，採用「注射」式的靜態感染方法入侵手機底層系統，查殺難度高，還能繁衍數十萬變種，感染力極強。「蜥蜴尾」木馬是由360手機安全中心此前截獲的「長老木馬」三代一個惡意子模塊演變而來，也被稱為「長老木馬」四代。目前，「蜥蜴尾」木馬總感染量已經超過80萬，360手機急救箱已實現首家查殺。

　　圖1:360手機急救箱查殺「蜥蜴尾」木馬

　　「蜥蜴尾」木馬擁有幾十萬變種

　　不同於一般的手機木馬偽裝成常用APP的作惡方式，「蜥蜴尾」木馬擁有獨特的加密解密模式，通過在文件末尾嵌入32位長度的字符串，解密後當作KEY,用於私有資料庫等配置文件的AES/DES加密與解密。但就是這一方法，導致同一版本長老四，出現幾十萬個變種。這種相似文件路徑欺騙法、 樣本MD5自變化等正是傳統PC端的病毒技術，偽裝性極高。

　　圖2：「蜥蜴尾」木馬兩個ELF可執行文件的對比

　　360手機安全專家分析稱，「蜥蜴尾」木馬主要分為launcher和核心作惡的ELF可執行模塊，圖1為兩個「蜥蜴尾」ELF可執行文件的對比，可以看出，其文件末尾嵌入隨機生成的32位長度的字符串，同一版的「蜥蜴尾」木馬則出現幾十萬個變種，並具有極高的感染性。

　　「注射」式的靜態感染方法 躲避安全軟體查殺

　　「蜥蜴尾」與長老木馬三代有緊密的關係，是由其子模塊發展而來。同長老木馬三代相比，「蜥蜴尾」採用的「注射」式的靜態感染方法，可將惡意代碼插入到被感染的系統文件，在被感染系統文件即中完成「蜥蜴尾」的啟動工作。值得指出的是，「蜥蜴尾」是在Android系統中首次採用感染技術的木馬。

　　圖3：被感染的系統庫文件\\system\\bin\\libglog.so

　　這種「靜態感染」方式加大了查殺難度。首先，增強了「蜥蜴尾」的隱蔽性，被感染的系統文件裝載時加載惡意launcher，接著launcher啟動ELF可執行文件。由於被感染的系統庫文件除了導入表多了一行字符串(launcher的路徑)之外，與其他正常系統庫文件完全相同，容易躲過安全軟體的查殺。

　　其次，增加殺毒軟體的修復難度，由於被感染的庫文件隨系統進程啟動時嘗試加載導入表中的所有so文件，可能會因為安全軟體的暴力刪除導致手機系統掛機。

　　「蜥蜴尾」置於系統層感染

　　同以往的病毒有所不同，「蜥蜴尾」木馬是對系統層的感染，「蜥蜴尾」木馬通過更加隱蔽的「靜態感染」啟動方式，將惡意代碼插入到被感染的系統文件，在被感染系統文件中完成其啟動工作，最終實現了對於手機系統層的感染。

　　「蜥蜴尾」木馬還能通過感染技術實現自我保護和隱藏自身惡意代碼，具有PC端的病毒自我保護手段，能夠在移動端大量使用了免殺、加密、隱藏、反虛擬機等傳統PC端病毒自我保護技術，更加不容易查殺。

　　對手機隱私及流量安全威脅極大

　　「蜥蜴尾」木馬的ELF可執行模塊包括distillery、plugins及redbean三個主要部分。只要手機受其感染，這些插件能夠在受感染的手機中執行遠程服務端指令、惡意扣費、簡訊攔截監控、下載和更新插件、後臺通話等潛在惡意行為，洩露受感染手機用戶的隱私，尤其是對流量安全有極大的危害，能在手機用戶毫無察覺的情況下通過下載插件、訂購業務等手段造成手機流量的大量流失，給用戶造成經濟上的損失。

　　圖4：「蜥蜴尾」木馬感染地域分布

　　360手機安全專家指出，「蜥蜴尾」木馬感染的手機幾乎涵蓋所有主流機型，Android4.0.3以上系統成為感染重災區，手機用戶一定要通過正規渠道下載安裝App應用，同時，安裝專業的安全軟體，開啟安全監控。如果手機已經刷過第三方ROM或者手機已經Root，360手機安全專家建議手機用戶採用360手機急救箱進行一次完整的深度掃描，查殺「蜥蜴尾」木馬，保證手機使用安全。