近期360云安全中心接到部分用户反馈,新买的android手机没用几天就少了几十块的话费,想要安装360手机卫士进行安全扫描,却发现360总是自动消失,针对用户出现的问题,360安全专家分析得知,这些用户全部为近期购买的新手机,且全部为“白卡机”(关于白卡机详见下文),其内置了一组恶性木马,分工合作,分别负责卸载安全软件,盗取用户隐私以及疯狂恶意扣费,我们将其命名为——白卡吸费魔。
目前360手机卫士已经在第一时间做到完全查杀“白卡吸费魔”,鉴于此类木马的特殊性,360特别推出“白卡吸费魔”木马专杀工具(点击即可下载)协助用户更简单直接的清除木马。
“白卡吸费魔”系列木马的危害
1、使用特殊方式刷入手机,用户无法删除,长期驻留后台消耗内存;
2、利用系统漏洞非法获取root权限,使手机沦为肉鸡;
3、恶意删除用户手机中的安全软件;
4、回传手机中包括SIM卡信息,网络信息,电话号码在内的多种隐私信息;
5、后台私自发送大量SP吸费短信并删除发送记录,造成用户高额话费损失;
6、私自在后台频繁联网回传用户隐私以及接受服务器指令,消耗大量网络流量。
揭秘“白卡吸费魔”系列木马的罪恶三部曲
“白卡吸费魔”系列木马共三个一组,分别为a.systerm.ireceiver.a、a.privacy.auctech.a、a.connectivity.polyvi.b,一起来看一下三个木马如何协同作恶完成对用户手机的彻底劫持。
1、名为a.systerm.ireceiver.a的木马负责驻留后台,实时侦测手机环境,当发现有安全软件运行或用开始安装安全软件,立即启动卸载程序,迅速卸载安全软件;
2、名为a.privacy.auctech.a的木马负责后台回传用户手机信息(包括SIM卡注册信息、电话号码、手机串号以及手机网络相关信息等等)到地址为http://stat.auctech.com/stat/stat.do的木马服务器,以便服务器可以下发最适合的攻击指令;
3、名为a.connectivity.polyvi.b的木马完成最后一步,也是木马的最终目的——扣费,发送SP业务定制短信并删除发送记录。
何为“白卡机”?
“白卡”通常是手机厂商内部使用的一种测试用SIM卡,用于手机的各项参数调试,不法商家用厂商内部流出的“白卡”对手机进行解锁,然后刷入带木马的ROM,于是有了所谓的“白卡机”。
由于“白卡机”解锁方式特殊,无法用正常方法进行刷机来清除木马,且植入固件的木马无法手动卸载,导致木马能够长期在手机中作恶,造成用户高额的话费损失。
鉴于最近水货市场出现了较多“白卡机”,360安全专家为用户提出以下几点建议,能够有效的预防木马的入侵:
1、购买手机时请尽量选择大型正规卖场,在柜台试用手机时请使用目前唯一能够有效查杀固件木马的360手机卫士对手机进行安全扫描,确保自己买到的手机是不存在吸费木马的;
2、在选择应用下载网站时,应该尽量选择大型可信站点,如Google官方市场或360手机必备等经过人工检测绝对安全的软件,并养成经常手机体检的习惯;
3、Android平台的开放性也给木马提供了隐蔽的条件,如果木马获取高权限,用户将很难察觉木马入侵,所以最好安装360手机卫士(http://shouji.360.cn)等具有云安全智能拦截功能的手机安全软件,进行主动防御与一键查杀。
文章来源: