一、背景介紹

近日,阿里移動安全收到多方用戶反饋,手機(jī)中了一種難以清除的病毒。病毒一旦發(fā)作,設(shè)備將不斷彈出廣告,并自動下載、安裝、啟動惡意應(yīng)用,最終設(shè)備衰竭而死,用戶很難通過常規(guī)的卸載手段清除病毒。由于該病毒有多個版本演變并有起死回生之術(shù),我們將該病毒命名為“九頭蟲”。

我們分析發(fā)現(xiàn),“九頭蟲”病毒利用多家知名root sdk對設(shè)備提權(quán),可輕松提權(quán)上萬總機(jī)型,成功提權(quán)后獲得設(shè)備最高權(quán)限,隨后向系統(tǒng)分區(qū)植入多個惡意app,刪除設(shè)備其他root授權(quán)程序、su文件,并替換系統(tǒng)啟動腳本文件,實現(xiàn)“起死回生”同時保證病毒具備root權(quán)限,將自身插入某殺軟白名單中,并禁用掉國內(nèi)多家知名殺軟,致使設(shè)備安全防護(hù)功能全線癱瘓。

中毒設(shè)備將作為“九頭蟲”病毒的僵尸設(shè)備,每天推送上百萬廣告,其點擊率大概15%(主要是病毒自身的模擬點擊),也就是說每天廣告點擊上10萬次,再加上靜默安裝與欺騙安裝,每成功安裝激活賺取1.5~2元,如此收益不菲!

二、“九頭蟲”傳播途徑與感染數(shù)據(jù)統(tǒng)計

2.1、傳播途徑

最早我們截獲到偽裝成“中國好聲音”應(yīng)用的“九頭蟲”病毒,通過排查歷史樣本,我們發(fā)現(xiàn)大量“九頭蟲”變種病毒,其傳播方式包括:偽裝成熱門應(yīng)用、重打包生活服務(wù)類、色情誘惑類、系統(tǒng)工具類應(yīng)用,比如偽裝成“中國好聲音”、“清理大師”、“新浪娛樂”等,以及色情應(yīng)用“幫學(xué)姐洗澡”、“性感の嫩?!?、“寂寞少婦”等,同時“九頭蟲”的惡意模塊完全受云端控制,導(dǎo)致用戶也不清除中毒來源。

↑傳播病毒圖標(biāo)

2.2、感染數(shù)據(jù)統(tǒng)計

1、全國地區(qū)感染分布

對2016年初到2016年10月的監(jiān)測統(tǒng)計數(shù)據(jù)顯示,“九頭蟲”病毒累計設(shè)備感染量高達(dá)33萬。從感染地區(qū)分布圖中可以看出四川、廣東是感染重災(zāi)區(qū)。

2、每月設(shè)備感染趨勢

從每月設(shè)備感染趨勢圖可以看出,“九頭蟲”病毒爆發(fā)周期是4~5個月,在隨后的4~5個月每月感染數(shù)下降,這正好也是病毒變種的一個周期。最近在8月初達(dá)到峰值,隨后幾月將是衰減期。