騰訊科技訊 4月6日消息,AVG中國實驗室監(jiān)測到了DroidKongFu的最新升級版本——“暗影殺手”。經(jīng)過此番武力升級,其手段暴增,可直接利用用戶獲取Root權(quán)限后的弊端,篡改內(nèi)核系統(tǒng)文件,至此常年潛伏于暗處,讓用戶的手機受到持久性創(chuàng)傷狠。
“暗影殺手”利用root權(quán)限,修改系統(tǒng)引導(dǎo)項,以此來獲得更早的加載,備份系統(tǒng)文件“debuggerd”、“vold”,并將其替換,借此深植至系統(tǒng)內(nèi)核。這一方式增加了安全工具對其檢測及清除的難度。相比較于PC系統(tǒng)的bootkit病毒,“暗影殺手”還處于早期階段。他獲得boot啟動的方式是較容易的。PC下的bootkit則要修改內(nèi)核代碼才能獲得二次控制權(quán)限,為后面的加載惡意驅(qū)動做準備,同時惡意驅(qū)動還會再保護boot代碼。“暗影殺手”并沒有對自身的boot代碼的保護,但這點并不難于編程實現(xiàn)。所以我們可以預(yù)見android系統(tǒng)的bootkit是十分危險的,隨著此項技術(shù)的披露,今后可能會產(chǎn)生更多的改進攻擊方式。
“暗影殺手”藏身于暗處,采取了多種隱藏手段,安裝包內(nèi)暗藏“***.so”庫文件,而病毒主要ELF文件又藏身于“***.so”庫文件。
庫文件讀取自身包含的ELF文件數(shù)據(jù):
將大量字符加密,包括遠程控制指令、部分服務(wù)器信息、自身所需變量信息等:
同時,主APK文件還獲取了大量敏感信息并發(fā)送:
目前已發(fā)現(xiàn)大量感染樣本包含常用軟件及流行游戲,其中不泛有本身就需要ROOT權(quán)限的程序,使用戶鑒別難度極大增加:
主要危害:
·植入后門,可使用病毒遠程操作用戶手機(下載、運行、刪除…)。
·破壞操作系統(tǒng)內(nèi)核完整性。
·發(fā)送敏感信息,導(dǎo)致用戶隱私泄露。
如何防范:
1、 Root手機需謹慎,對待需要Root權(quán)限的程序更需謹慎。
2、 針對目前惡意修改應(yīng)用的情況,用戶應(yīng)盡量去市場下載知名廠商的應(yīng)用,或直接登錄該廠商的官方網(wǎng)站下載。
3、 針對目前中國用戶的特殊情況,選擇市場亦應(yīng)選擇較為正規(guī)的市場去下載應(yīng)用。
4、 如果您勾選了“未知源”,請謹慎對待您所安裝的程序。
5、 對于此類病毒防范重于清理,望廣大用戶提升安全意識。
推薦閱讀
新浪科技訊 4月6日消息,東軟集團發(fā)布了2012年第一季度業(yè)績預(yù)增公告。東軟集團表示,在截止于3月31日的第一季度里,東軟集團歸屬于上市公司股東的凈利潤比上年同期增長80%-90%。去年同期,東軟集團凈利潤為2928萬元。>>>詳細閱讀
本文標題:AVG中國監(jiān)測到DroidKongFu新版“暗影殺手”
地址:http://m.sdlzkt.com/a/kandian/20120406/48680.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示