近期,360手机安全中心收到大量用户反馈,手机上莫名出现手电筒、日历等软件,偷扣手机话费高达数百元,同时极难卸载,即使卸载后还会重复出现。360手机安全中心分析发现,始作俑者为“长老木马”三代变种,除了恶意扣费还会窃取手机隐私,目前,已有超过100万手机用户感染“长老木马”三代。中招手机用户使用360急救箱可完美查杀。
图一:“长老木马”三代偷偷联网下载恶意篡改的手电筒、日历应用
360手机安全专家指出,“长老木马(FakeDebuggerd)”三代——FakeDebuggerd.C会将安卓系统文件/system/bin/debuggerd文件替换,原始的debuggerd文件只有21k,而被替换的debuggerd文件有将近200k的大小。
“长老木马”三代会窃取中招手机的基本信息并上传至木马作者指定的服务器,并偷偷联网下载ELF文件,ELF文件在手机运行后会自动释放并安装恶意篡改的手电筒和日历应用。其次,“长老木马”会将下载的应用安装在系统应用目录中,如果不获取root权限,手机用户则不能通过正常方式卸载这两款恶意应用。另外,“长老木马”三代还会隐藏自身进程,增加分析难度。
成功潜伏到手机中后,“长老木马”三代会对手机造成更为严重的危害。360手机安全专家介绍,“长老木马”会判断被恶意篡改的手电筒和日历应用在中招手机中是否存在,如果被卸载则会重新联网下载安装。已经安装到手机中的恶意手电筒、日历应用会再次联网下载其他软件,并在手机桌面上生成快捷方式,采用这种手法再次推广,360手机安全专家指出,这些推广的恶意程序中存在大量恶意扣费的应用,中招手机用户会因此损失成百上千的话费。
图二:360系统急救箱查杀“长老木马”三代
由于“长老木马”三代会在手机中联网下载ELF文件,想要彻底清除“长老木马”三代目前只能通过360电脑版手机急救箱和长老木马专杀工具,手机用户一旦发现手机中莫名多出手电筒、日历、记事本及其他应用,同时手机话费出现异常,一定要尽快使用360手机急救箱和长老木马专杀工具清除“长老木马”三代。