一、背景介紹

近日,阿里移動(dòng)安全收到多方用戶反饋,手機(jī)中了一種難以清除的病毒。病毒一旦發(fā)作,設(shè)備將不斷彈出廣告,并自動(dòng)下載、安裝、啟動(dòng)惡意應(yīng)用,最終設(shè)備衰竭而死,用戶很難通過(guò)常規(guī)的卸載手段清除病毒。由于該病毒有多個(gè)版本演變并有起死回生之術(shù),我們將該病毒命名為“九頭蟲(chóng)”。

我們分析發(fā)現(xiàn),“九頭蟲(chóng)”病毒利用多家知名root sdk對(duì)設(shè)備提權(quán),可輕松提權(quán)上萬(wàn)總機(jī)型,成功提權(quán)后獲得設(shè)備最高權(quán)限,隨后向系統(tǒng)分區(qū)植入多個(gè)惡意app,刪除設(shè)備其他root授權(quán)程序、su文件,并替換系統(tǒng)啟動(dòng)腳本文件,實(shí)現(xiàn)“起死回生”同時(shí)保證病毒具備root權(quán)限,將自身插入某殺軟白名單中,并禁用掉國(guó)內(nèi)多家知名殺軟,致使設(shè)備安全防護(hù)功能全線癱瘓。

中毒設(shè)備將作為“九頭蟲(chóng)”病毒的僵尸設(shè)備,每天推送上百萬(wàn)廣告,其點(diǎn)擊率大概15%(主要是病毒自身的模擬點(diǎn)擊),也就是說(shuō)每天廣告點(diǎn)擊上10萬(wàn)次,再加上靜默安裝與欺騙安裝,每成功安裝激活賺取1.5~2元,如此收益不菲!

二、“九頭蟲(chóng)”傳播途徑與感染數(shù)據(jù)統(tǒng)計(jì)

2.1、傳播途徑

最早我們截獲到偽裝成“中國(guó)好聲音”應(yīng)用的“九頭蟲(chóng)”病毒,通過(guò)排查歷史樣本,我們發(fā)現(xiàn)大量“九頭蟲(chóng)”變種病毒,其傳播方式包括:偽裝成熱門應(yīng)用、重打包生活服務(wù)類、色情誘惑類、系統(tǒng)工具類應(yīng)用,比如偽裝成“中國(guó)好聲音”、“清理大師”、“新浪娛樂(lè)”等,以及色情應(yīng)用“幫學(xué)姐洗澡”、“性感の嫩模”、“寂寞少婦”等,同時(shí)“九頭蟲(chóng)”的惡意模塊完全受云端控制,導(dǎo)致用戶也不清除中毒來(lái)源。

↑傳播病毒圖標(biāo)

2.2、感染數(shù)據(jù)統(tǒng)計(jì)

1、全國(guó)地區(qū)感染分布

對(duì)2016年初到2016年10月的監(jiān)測(cè)統(tǒng)計(jì)數(shù)據(jù)顯示,“九頭蟲(chóng)”病毒累計(jì)設(shè)備感染量高達(dá)33萬(wàn)。從感染地區(qū)分布圖中可以看出四川、廣東是感染重災(zāi)區(qū)。

2、每月設(shè)備感染趨勢(shì)

從每月設(shè)備感染趨勢(shì)圖可以看出,“九頭蟲(chóng)”病毒爆發(fā)周期是4~5個(gè)月,在隨后的4~5個(gè)月每月感染數(shù)下降,這正好也是病毒變種的一個(gè)周期。最近在8月初達(dá)到峰值,隨后幾月將是衰減期。