“地狱火”手机病毒——源自安卓系统底层的威胁

0x00     背景 近 日,360安全中心收到多起用户反馈,手机中了一种难以清理的病毒,某些用户尝试自行清理掉病毒,发现删除病毒文件vold.apk后,会再次重现。通过分析,发现此病毒已经寄生到系统底层,定时恢复APK实现自我保护。随着反馈用户数量急剧上升,360手机急救箱已下发紧急查杀方案,全面支持清理该手机病毒。 通过分析,我们发现在手机病毒发展史上,首次利用了在Android系统中通过修…

继续阅读 →

“万蓝”ROM级手机木马分析报告

摘要          今年五月中旬,有用户向360安全中心反馈手机经常自动安装新的游戏应用,经过360互联网安全中心分析排查发现用户中的是一个ROM级别的木马。该木马主要通过获取云端指令进行静默安装推广应用,并可以实现自身升级。木马自身支持多达40个命令类型[附录1],用以辅助实现静默安装推广应用和自身升级。          通过对已有数据和木马网络后台的挖掘查询,发现该木马历史上曾出现的版本…

继续阅读 →

手机锁屏勒索国内首现身

by 张昊          近期,360互联网安全中心截获到了一批伪装成游戏外挂、QQ刷赞、付费破解等类型的恶意软件。一旦用户点击运行,用户手机就会被锁住,即使强制重启也没有用,造成用户手机无法进行任何操作。如果用户想要解锁手机只能联系恶意软件界面上留下的QQ号码并向其进行付费,从而达到勒索用户资金的目的。目前,360手机卫士已经可以全面查杀该类型恶意软件。   一、锁屏原理          …

继续阅读 →

“长老木马”三代揪出背后“大毒枭”

作者:360Android分析团队     一、冰山一角 近期很多网友的Android手机上“莫名其妙”地出现了“手电筒”、“日历”等应用,并且在没有root的前提下无法卸载。即使获得了root权限卸载了,没过多久又会再次出现。根据360互联网安全中心统计,相关的受感染用户已经超过百万。 二、始作俑者 经过大量的用户配合反馈以及360互联网安全中心细致分析排查后,我们发现始作俑者为“长老木马(Fa…

继续阅读 →

蝗虫手机木马分析报告

作者:陈宏伟、张佳杰   一、主包分析 包名:com.example.xxshenqi 应用名:XX神器 MD5:5956C29CE2E17F49A71AC8526DD9CDE3 主要恶意行为:遍历联系人后群发短信,使恶意木马再次扩散传播;伪造钓鱼页面,诱骗用户注册填写个人信息,导致隐私泄露;安装恶意子包。   权限:     程序入口   点击应用图标启动…

继续阅读 →

长老木马二代FakeDebuggerd.B分析报告

作者:董清、王欢、石浩然   三个月前,我们发现了潜伏手机多年的木马—长老木马(FakeDebuggerd),它通过替换系统文件/system/bin/debuggerd实现开机自启动,并获得Root权限,使得木马作者可以远程控制用户手机,进行篡改浏览器主页、软件推广等恶意行为,详情请参考我们之前的分析报告[1]。 近日,我们又截获了长老木马(FakeDebuggerd)家族的最新变…

继续阅读 →

Oldboot.B:与Bootkit技术结合的木马隐藏手段的运用

作者:iRiqium,赵润泽,蒋旭宪 一个多月之前,我们在Android平台上发现了世界上第一个采用Bootkit技术的木马—Oldboot[1](中文名:不死木马)。通过刷机等方式,Oldboot木马被植入手机ROM的BOOT分区中,在Android系统启动的早期阶段就得以运行,并进行一系列恶意行为。为此,我们在全球率先发布了Oldboot木马专杀工具,帮助用户检测和防御Oldboot木马。…

继续阅读 →

EvilGuard:Anroid平台新的攻击方式

作者: 张昊 近日,我们发现了Android平台上首个采用进程保护技术的木马。该木马通过执行自身释放的恶意可执行文件,达到自我保护对抗杀毒软件清除的目的,我们将这个木马家族命名为“EvilGuard”,并独家发布了恶魔守护者木马专杀工具(下载),帮助用户免受其危害。 样本结构 EvilGuard主要由主包android.system.manager和由主包释放出来的子包com.android.ts…

继续阅读 →