锦绣中华,盛世华诞,马上我们就要迎来建国 70 周年的大日子!不论大家打算在手机上观看热血沸腾的大阅兵直播,还是上网为”阿中哥”打 call 应援,总之对祖国”花式表白”,即将成为今年十一假期”最燃”的度假项目 。
但是,在我们”机不离手”的长假里,不得不提防一种能给你手机致命一击的 Android Native 病毒——”伏地魔” 。360 安全大脑的长期监测,发现自 2016 年 6 月起,”伏地魔”病毒便活跃于用户手机里 。它不仅能伪装手机系统文件,更带来挥之不去的烦人广告及恶意应用,严重影响手机正常使用,甚至被莫名扣费 。而根据统计,感染”伏地魔”病毒的手机用户已超过 100 万 。
就在节前,360 安全大脑发布《兼容安卓 64 位的”伏地魔”病毒分析报告》,首次详细披露了”伏地魔”病毒 3 年来的演变进程,以及其不断进化的全新变种;并且全面分析了”伏地魔”病毒在全国范围的传播疫情和攻击态势 。
“伏地魔”散播五湖四海,64 位病毒呈高发态势
首先,从地域分布来看,感染”伏地魔”病毒最多的省份为广东省,感染量占全国感染量的 10.27%;其次为河南省为 8.04%,山东省为 7.92%;再综观全国感染分布,不难发现”伏地魔”病毒正在向全国四面八方大肆传播,安全防护意识不可掉以轻心 。
文章插图
至于中招手机的版本,多达 92% 集中在 Android5.1 和 Android4.4,其中 Android5.1 受灾最为严重,占比达 60%;其次,”伏地魔”病毒的 64 位版本影响范围主要为 Android5.1 和 Android5.0 。
文章插图
必须警惕的是,在 64 位操作系统已成 Android 手机主流的趋势下,越来越多的 Android Native 病毒开始兼容 64 位手机,”伏地魔”的不断演变并发展成为支持 64 位手机的”致命”病毒,正是这一趋势的具体体现 。因此,360 安全大脑发出预警:未来可能是 64 位 Android Native 病毒的高发期,移动端安全防护变得更为严峻 。
斗智斗勇”掩体战”,手段高超躲避杀软
回顾”伏地魔”病毒在长达 3 年的演变进程中,已经历了三次版本迭代 。从简单的初代,到使用动态感染技术,再到增加恶意扣费模块,攻击功能不断升级完善,以今年 1 月首次使用动态感染技术的”伏地魔”病毒新变种为例,仅用 1 个月就有 6.7 万用户中招感染,其感染量达到峰值 。
文章插图
针对新出现的变种版本,360 安全大脑确认其”危险系数”极高 。一方面”伏地魔”是 APP 界出色的”伪装者”,不仅病毒母包可以假扮成”讨喜好用”的正常 APP 程序,像掌上快讯、水果忍者之类,而病毒模块则可以”冒充”手机系统文件,外观和内核都真假难辨 。
另一方面,”伏地魔”也有着高超的对抗手段,例如病毒会在开机运行 5 分钟以后,才开始安装、拉起恶意应用;运行 20 分钟后,才开始偷偷订阅服务、恶意扣费……总之,攻击者精心设计了”定时触发”,再加上”加密混淆”、”HOOK 注入”、”多重检测”等各式各样的”保命”方法,让”伏地魔”躲过杀软查杀,实现对抗杀软 。
与此同时,”伏地魔”病毒主要通过伪装小游戏、色情应用,以及第三方 ROM 等方式进行传播 。中招用户一旦感染病毒就会像拧开病毒的”阀门”,除了推送霸屏广告,还会陆陆续续下载其他病毒应用以及更多推广软件,形成一个恶性循环;同时,该病毒还会私自订购业务,造成用户直接经济损失 。
文章插图
“伏地魔”病毒详细技术分析:
经过 360 安全大脑的进一步溯源分析,确认”伏地魔”病毒主要由任务调度模块、ROOT 提权模块、注入模块、恶意扣费模块四大模块组成,其整体执行流程如下:
文章插图
· 任务调度
病毒应用运行后,首先检测设备状态,防止在非用户运行环境触发恶意行为;检测通过后,会对用户手机进行注册,并设置定时触发任务 。病毒应用在运行一段时间后,会向云端发送更新请求,下载并动态加载恶意文件 artificial.jar 。
文章插图
- iphone卡贴是什么原理 苹果手机的卡贴什么原理
- 华为手机方便的截屏技巧 华为手机截屏方法
- 石油为何有桶和吨两种计量单位? 一桶原油是多少升
- 苹果手机丢了怎么找回手机通讯录 苹果手机通讯录丢了怎么解决
- oppo手机输入法有哪些技巧 oppo手机如何调输入法
- 怎样提升华为手机wifi网速 华为手机在wifi下怎么提高网速
- 华为手机截屏的3个功能 华为手机有什么好的截屏功能
- 三大通信运营商的手机号段大全 电信号段
- 微信双开:如何在同一手机上使用两个微信账号? 微信双开
- 为何刘邦四十岁一事无成 刘邦35岁前一事无成