权限杀手_权限杀手查杀_(病毒)幽灵推.apk

2013年，ROM级内嵌手机病毒“权限杀手”曝光，该病毒通过删除其他应用获取系统ROOT所使用的关键文件，达到自己不被其他应用获取系统ROOT删除的目的，进而实施一系列作恶行为。通过云数据分析，该木马在近一年多的时间持续活跃，并且在2015年上半年突然爆发。权限杀手

此次爆发的权限杀手最新变种，其系统模块、作恶手段均有所改进。通过调查分析，木马主要内嵌在手机ROM中通过刷机网站快速传播，此外还包括部分水货手机用户，到目前为止，国内受影响用户达50万之多，其中超过60%是近半年内新受到感染的用户。

到目前为止，国内刷机市场累计有接近300 个ROM预置了该木马，数量还在进一步增加，其中超过80%的ROM是今年上半年发布的。权限杀手

这些ROM主要影响的手机品牌包括三星、联想、华为、酷派、小米、HTC等，几乎涵盖了所有市场主流的Android手机品牌。

我们对权限杀手手机病毒影响地区进行分析，发现该病毒除了主要感染国内用户的手机用户也有感染的迹象，对国外用户的感染主要集中在三星品牌的手机中。

权限杀手国内用户感染分布

图上可以看到，国内用户感染最严重的地区出现在两广地区，该地区也是国内水货手机和刷机用户最集中的地区。

权限杀手国际用户感染分布

图上可以看到，国际用户感染最严重的出现在印尼和地区。

分析

权限杀手会删除手机的授权管理文件，阻止其他应用获取ROOT授权，保证自身不被安全应用删除，同时进行下载、推广、刷流量等恶意行为。在最新变种中，木马主要包括3个模块：

PageViwer和searchcone是预置在ROM中的模块，PageViwer通过注册BOOT_COMPLETED和CONNECTIVITY_CHANGE的系统广播，完成恶意代码的启动。

PageViwer消息注册

PageViwer启动之后会收集用户手机信息，将信息发送至远端服务器，服务器根据手机信息判断需要分发的云端指令，PageViwer接收指令并完成指令解析。此后，PageViwer会将指令推送至searchcone模块执行，并下载启动Markserv模块。

PageView接收的云端指令格式

searchcone是预置在ROM的另一个模块，该模块主要负责指令的执行，它首先会检测输入参数，在参数正确的情况下获取ROOT权限，最后执行命令。

searchcone命令列表

Markserv是PageViwer下载的一个模块，由searchcone进行安装执行，但在部分ROM中，我们也发现了被预置的情况存在。

Markserv功能有：

1. 执行创建桌面快捷方式；

2. 清空自身程序数据；

3. 停止自身程序；

4. 刷流量，打开指定的网页；

5. 启动腾讯广点通广告；

6. 启动AdMob广告；

7. 发送短信；

8. 屏蔽短信；

9. 添加书签(最新版本添加的功能)；

在权限杀手整个进化过程中，不可忽视的一点是，从早期将searchcone的文件名硬编码到APK中不同，最新版本的权限杀手，已经将APK和ELF之间的关联完全切断，APK需要操作的ELF文件名，完全由云端传入。这样，根据当前APK找到对应ELF文件将非常困难，由于ELF功能单一，并且参数检测严格，脱离了APK，很难独立判断黑白，大大降低了ELF模块的查杀率。而APK开发成本低，更新换代快，也大大提高了该木马的生存机会。

ROM认证的问题

“权限杀手”主要通过主流的刷机网站进行传播，据调查结果看到，刷机网站对ROM安全问题的把控能力不容乐观，ROM安全问题令人堪忧。此次内嵌该木马的上百个ROM文件几乎都同时打上了安全认证的标签，使得用户放松了警惕，这也是造成该木马流行传播的主要原因。例如：

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-38393-1.html