作者：Binroo 近年来，云安全是安全行业的重要话题，作为其中非常重要的一部分云查杀更是对病毒查杀的一种全新定义，对检测未知样本，响应周期，防止样本扩散方面也达到了全天秒级的速度。 在近日，360互联网安全中心就监控到了一批针对安全软件恶意样本，该恶意样本通过主包子包分别影响安全软件，并且相互保护，使得安全软件彻底失效，以达到强行驻留用户手机的目的。360互联网安全中心提醒网民，请通过360手机助手等正规应用市场下载应用。目前360已全面查杀该木马。

恶意样本运行流程：

一、主包“蓝牙服务”分析 1）、主包启动后首先申请root权限，并通过pm disable禁用安全软件。

影响的安全软件有： cn.opda.a.phonoalbumshoushou --- 百度手机卫士 com.anguanjia.safe ---安全管家 com.tencent.qqpimsecure --- 腾讯手机管家 com.lenovo.safecenter --- 联想乐安全 com.qihoo360.mobilesafe --- 360卫士 2）、将系统目录挂载成可读写，从assets目录下释放PhoneSystemProvider.obb文件，拷贝到system/app目录下并重命名为PhoneSystemProvider.apk

3）、监控PACKAGE_REMOVED广播，检测卸载的应用如果是“FindPhone”就重新释放安装assets目录下的PhoneSystemProvider.obb，否则就弹出伪造的清理垃圾界面。

4）、伪造清理垃圾界面，同时推广软件。 点击清理应用并无实际功能： 二、子包“FindPhone**”分析** 子包的主要功能是利用Droidwall的技术与安全软件对抗，并且与主包进行相互监控保护。子包运行后检测是否安装了指定的安全软件，如果是就将该安全软件加到Droidwall网络防火墙的黑名单中去。导致安全软件联网数据包被丢弃，对抗安全软件的云查杀、更新及各种联网操作。 Droidwall的实现原理就是linux的iptables规则，更多Droidwall： 项目地址：https://code.google.com/p/droidwall/ 源代码下载地址：http://droidwall.googlecode.com/svn/ 1）、当FindPhone启动后，监控PACKAGE_ADDED广播，如果新安装的不是主包“蓝牙服务”，并且手机中也未安装，则从远程服务器下载安装主包“蓝牙服务”。 2）、获取手机中已安装的安全软件：

获取的安全软件与主包“蓝牙服务”相同： cn.opda.a.phonoalbumshoushou --- 百度手机卫士 com.anguanjia.safe --- 安全管家 com.tencent.qqpimsecure --- 腾讯手机管家 com.lenovo.safecenter --- 联想乐安全 com.qihoo360.mobilesafe --- 360卫士 3）、设置黑名单模式

4）、以黑名单模式构建DroidWall.sh，运行成功后即可禁用黑名单中安全软件的一切联网操作

5）、脚本示例如下：

6）、在真实环境中运行时的结果示例： 解释上图中的10045：每个应用安装后Android系统都会为该应用分配一个uid，10045是测试用机上分配给某安全软件的uid，可以看到将10045的3G和wifi的数据包全部拒绝(droidwall-reject)

在连接wifi的情况下，安全软件已无法自动更新。

7）、禁止指定应用弹出通知栏提示（此功能只在安卓4.2及后续版本中生效）

被禁止的应用有： com.mgyun.shua.su --- ROOT大师 com.dianxinos.superuesr（猜测作者写错了，应该为com.dianxinos.superuser） --- 百度授权管理 com.system.buletooth --- 主包“蓝牙服务” 三、解决方案： 目前对于已中招的用户可以通过如下两种方式清除此木马： 360系统急救箱-安卓手机木马专杀，下载地址：http://www.360.cn/jijiuxiang/ 360卫士极客版，下载地址：http://geek.360.cn/