顽固木马是指采用传统通杀方法不能根除、部分具有极强的破坏性需要对系统做针对性修复的木马。数据显示,2016年全年,360互联网安全中心累计截获安卓平台顽固木马新增恶意程序样本约177.4万个,平均每月新增约14.8万个。相比2015年增长279.9%,相比2014年则呈现百万级数量增长,快速的增长规模需要全行业更加关注。
对于顽固木马的危害性,360手机卫士安全专家提醒称:“顽固木马通常会进行盗取数据、恶意扣费、恶意推广、篡改手机信息等攻击行为,且部分具有极强的防卸载防查杀对抗能力,普通的手机安全软件无法彻底清除。”
图1:顽固木马数量近年来大幅增长
据了解,这类木马为了生存,不断与安全软件对抗,一旦进入到手机系统中,会带来严重的安全威胁,不但能够完全控制用户手机系统,还会对手机系统进行破坏,甚至无法正常恢复和还原。
“相比其他几种木马,顽固木马目的动机更加明确,主要在于‘推’,推广其他软件产生推广利益价值,所以要保证自己的留存率和稳定的运行环境。”专家说。
图2:捆绑“地狱火”顽固木马软件类型
顽固木马通常会先获取手机系统Root权限,再通过感染、植入、替换系统文件的方式将恶意模块写入到系统中。
以“地狱火”顽固木马为例,它通过捆绑有恶意程序的母体APK进入到手机系统中,母体负责解密释放核心子包,子包负责执行获取Root权限,推广其他应用及寄生到系统底层三种恶意行为。从捆绑有恶意程序的母体APK按照软件类型分类看,色情播放器类软件约占98%。这些色情播放器类软件相互推广、交叉传播,是“地狱火”顽固木马的主要来源。
而从顽固木马伪装的对象来看,排在最易伪装对象首位的是“/system/bin/debuggerd”。debuggerd 是安卓系统自带的一个诊断程序异常的程序,它可以侦测到程序崩溃,并将崩溃时的进程状态信息输出到文件和串口中,以供开发人员分析调试使用。
近日,360手机卫士发布了《2016年安卓手机恶意软件专题报告》。《报告》强调,为应对不断变化、持续更新的移动安全威胁,系统厂商、手机厂商及安全厂商协同联动共建移动生态安全。首先,系统厂商夯实系统基础安全;第二,手机厂商加速完善系统更新机制;第三,安全厂商分享前沿研究成果。
推荐阅读:河北之窗