“蜥蜴尾”木馬感染80萬部手機 360手機急救箱首家查殺

　　手機病毒正在變得越來越“擬人化”。日前，360手機安全中心發現了首次在Android系統中通過感染方式進行自我保護的木馬病毒——“蜥蜴尾”，采用“注射”式的靜態感染方法入侵手機底層系統，查殺難度高，還能繁衍數十萬變種，感染力極強。“蜥蜴尾”木馬是由360手機安全中心此前截獲的“長老木馬”三代一個惡意子模塊演變而來，也被稱為“長老木馬”四代。目前，“蜥蜴尾”木馬總感染量已經超過80萬，360手機急救箱已實現首家查殺。

　　圖1:360手機急救箱查殺“蜥蜴尾”木馬

　　“蜥蜴尾”木馬擁有幾十萬變種

　　不同于一般的手機木馬偽裝成常用APP的作惡方式，“蜥蜴尾”木馬擁有獨特的加密解密模式，通過在文件末尾嵌入32位長度的字符串，解密后當作KEY,用于私有數據庫等配置文件的AES/DES加密與解密。但就是這一方法，導致同一版本長老四，出現幾十萬個變種。這種相似文件路徑欺騙法、 樣本MD5自變化等正是傳統PC端的病毒技術，偽裝性極高。

　　圖2：“蜥蜴尾”木馬兩個ELF可執行文件的對比

　　360手機安全專家分析稱，“蜥蜴尾”木馬主要分為launcher和核心作惡的ELF可執行模塊，圖1為兩個“蜥蜴尾”ELF可執行文件的對比，可以看出，其文件末尾嵌入隨機生成的32位長度的字符串，同一版的“蜥蜴尾”木馬則出現幾十萬個變種，并具有極高的感染性。

　　“注射”式的靜態感染方法 躲避安全軟件查殺

　　“蜥蜴尾”與長老木馬三代有緊密的關系，是由其子模塊發展而來。同長老木馬三代相比，“蜥蜴尾”采用的“注射”式的靜態感染方法，可將惡意代碼插入到被感染的系統文件，在被感染系統文件即中完成“蜥蜴尾”的啟動工作。值得指出的是，“蜥蜴尾”是在Android系統中首次采用感染技術的木馬。

　　圖3：被感染的系統庫文件\\system\\bin\\libglog.so

　　這種“靜態感染”方式加大了查殺難度。首先，增強了“蜥蜴尾”的隱蔽性，被感染的系統文件裝載時加載惡意launcher，接著launcher啟動ELF可執行文件。由于被感染的系統庫文件除了導入表多了一行字符串(launcher的路徑)之外，與其他正常系統庫文件完全相同，容易躲過安全軟件的查殺。

　　其次，增加殺毒軟件的修復難度，由于被感染的庫文件隨系統進程啟動時嘗試加載導入表中的所有so文件，可能會因為安全軟件的暴力刪除導致手機系統掛機。

　　“蜥蜴尾”置于系統層感染

　　同以往的病毒有所不同，“蜥蜴尾”木馬是對系統層的感染，“蜥蜴尾”木馬通過更加隱蔽的“靜態感染”啟動方式，將惡意代碼插入到被感染的系統文件，在被感染系統文件中完成其啟動工作，最終實現了對于手機系統層的感染。

　　“蜥蜴尾”木馬還能通過感染技術實現自我保護和隱藏自身惡意代碼，具有PC端的病毒自我保護手段，能夠在移動端大量使用了免殺、加密、隱藏、反虛擬機等傳統PC端病毒自我保護技術，更加不容易查殺。

　　對手機隱私及流量安全威脅極大

　　“蜥蜴尾”木馬的ELF可執行模塊包括distillery、plugins及redbean三個主要部分。只要手機受其感染，這些插件能夠在受感染的手機中執行遠程服務端指令、惡意扣費、短信攔截監控、下載和更新插件、后臺通話等潛在惡意行為，泄露受感染手機用戶的隱私，尤其是對流量安全有極大的危害，能在手機用戶毫無察覺的情況下通過下載插件、訂購業務等手段造成手機流量的大量流失，給用戶造成經濟上的損失。

　　圖4：“蜥蜴尾”木馬感染地域分布

　　360手機安全專家指出，“蜥蜴尾”木馬感染的手機幾乎涵蓋所有主流機型，Android4.0.3以上系統成為感染重災區，手機用戶一定要通過正規渠道下載安裝App應用，同時，安裝專業的安全軟件，開啟安全監控。如果手機已經刷過第三方ROM或者手機已經Root，360手機安全專家建議手機用戶采用360手機急救箱進行一次完整的深度掃描，查殺“蜥蜴尾”木馬，保證手機使用安全。