随着360手机卫士等手机安全软件的普及，一些手机木马也正在不断进化、升级，企图通过攻防逃过被安全软件无情查杀的命运。360手机安全中心日前发布技术研究报告称，360手机卫士独家截获安卓平台上首个采用进程保护手段的恶意木马——“恶魔守护者”，该木马一旦发现主木马程序被删除或查杀后，会在短短30秒时间内将其原地满血“复活”。

　　与此同时，“恶魔守护者”木马利用安卓系统多个漏洞获取ROOT(管理员)权限，私自下载安装多个软件，拖慢系统运行，占用系统空间，大量消耗网络流量。对此，360手机安全工程师张昊提醒用户，如果手机莫名出现“内置软件卸载”图标，请尽快到360手机卫士官网下载专杀工具查杀恶魔守护者。目前，360手机卫士发布的恶魔守护者木马专杀已经独家实现彻底清除该木马。

　　360手机卫士专杀工具查杀“恶魔守护者”手机木马

　　研究发现，恶魔守护者主要由主包android.system.manager和由主包释放出来的子包com.android.tservice组成。木马抓住了手机用户想要卸载内置软件的需求，伪装成需要ROOT提权功能的软件，如“内置软件卸载”。“木马会利用多个已经公开的安卓安全漏洞来获得ROOT权限，有了ROOT权限，木马就有了对抗安全软件的能力，甚至可以将安全软件删除”，张昊介绍。

　　报告显示，主木马程序在手机中招后会首先完成获得ROOT权限，恶意子包的释放、安装和运行等基本工作。主木马程序还会偷偷联网上传手机的固件信息到黑客指定的服务器(core.mdot.cn)。

　　恶意子包被主木马程序启动后，通过伪装成“Google服务框架”(安卓系统一种官方应用服务)蒙蔽用户，即使恶意子包服务被意外关闭，仍可通过开机、滑动解锁、日期设置等多个用户操作来偷偷自启动。360手机安全工程师还发现，恶意子包还会自动更新升级。

　　恶意子包的恶意行为不但包括上传手机号、IMEI、手机型号、系统版本号等隐私信息。同时也会在后台偷偷下载安装未知应用。

　　“恶魔守护者”会在安卓手机的/system/bin路径下释放ELF可执行文件safe，工程师认为，safe文件的功能是为了保护恶意子包顺利运行并防止被卸载或查杀。Safe还会每隔30秒检查一次恶意子包是否被删除、木马进程是否还存在。如果没有，将会立即复活木马文件并将其运行。

　　“为了经济利益，PC端木马的一些攻击方法也逐渐出现在手机上，从范围上也从应用层转变为对系统底层的攻击，非常值得我们警惕”。张昊表示，目前大部分传统手机安全软件暂时无法彻底清除“恶魔守护者”木马，因此也建议手机用户，当发现手机莫名其妙出现“内置软件卸载”这样的图标，或者出现上述木马生成的文件名称，请立即下载360手机卫士推出的专杀工具，查杀恶魔守护者。

　　张昊同时提醒手机用户在下载应用时，尽量选择360手机助手这样经过安全检测的应用市场进行下载，从源头上避免遭遇这种“高精尖”手机木马。

　　“恶魔守护者”手机木马分析报告：

　　blogs.360.cn/360mobile/2014/03/18/analysis_of_evil_guard/

　　“恶魔守护者”手机木马专杀工具下载地址：

　　msoftdl.360.cn/mobilesafe/shouji360/360safesis/ExpAbuseKiller.apk

　　360手机卫士最新版下载地址：shouji.360.cn