一、背景介紹

近日,阿里移動安全收到多方用戶反饋,手機中了一種難以清除的病毒。病毒一旦發(fā)作,設備將不斷彈出廣告,并自動下載、安裝、啟動惡意應用,最終設備衰竭而死,用戶很難通過常規(guī)的卸載手段清除病毒。由于該病毒有多個版本演變并有起死回生之術,我們將該病毒命名為“九頭蟲”。

我們分析發(fā)現(xiàn),“九頭蟲”病毒利用多家知名root sdk對設備提權,可輕松提權上萬總機型,成功提權后獲得設備最高權限,隨后向系統(tǒng)分區(qū)植入多個惡意app,刪除設備其他root授權程序、su文件,并替換系統(tǒng)啟動腳本文件,實現(xiàn)“起死回生”同時保證病毒具備root權限,將自身插入某殺軟白名單中,并禁用掉國內多家知名殺軟,致使設備安全防護功能全線癱瘓。

中毒設備將作為“九頭蟲”病毒的僵尸設備,每天推送上百萬廣告,其點擊率大概15%(主要是病毒自身的模擬點擊),也就是說每天廣告點擊上10萬次,再加上靜默安裝與欺騙安裝,每成功安裝激活賺取1.5~2元,如此收益不菲!

二、“九頭蟲”傳播途徑與感染數(shù)據(jù)統(tǒng)計

2.1、傳播途徑

最早我們截獲到偽裝成“中國好聲音”應用的“九頭蟲”病毒,通過排查歷史樣本,我們發(fā)現(xiàn)大量“九頭蟲”變種病毒,其傳播方式包括:偽裝成熱門應用、重打包生活服務類、色情誘惑類、系統(tǒng)工具類應用,比如偽裝成“中國好聲音”、“清理大師”、“新浪娛樂”等,以及色情應用“幫學姐洗澡”、“性感の嫩模”、“寂寞少婦”等,同時“九頭蟲”的惡意模塊完全受云端控制,導致用戶也不清除中毒來源。

↑傳播病毒圖標

2.2、感染數(shù)據(jù)統(tǒng)計

1、全國地區(qū)感染分布

對2016年初到2016年10月的監(jiān)測統(tǒng)計數(shù)據(jù)顯示,“九頭蟲”病毒累計設備感染量高達33萬。從感染地區(qū)分布圖中可以看出四川、廣東是感染重災區(qū)。

2、每月設備感染趨勢

從每月設備感染趨勢圖可以看出,“九頭蟲”病毒爆發(fā)周期是4~5個月,在隨后的4~5個月每月感染數(shù)下降,這正好也是病毒變種的一個周期。最近在8月初達到峰值,隨后幾月將是衰減期。