葫芦岛信息港

当前位置:

经济半小时警惕不死木马逆袭安卓手机

2020/03/30 来源:葫芦岛信息港

导读

经济半小时:警惕“不死”木马逆袭安卓2013年中国第三方移动支付市场交易规模达12197.4亿元,同比增速707.0%,而2014年这一

经济半小时:警惕“不死”木马逆袭安卓

2013年中国第三方移动支付市场交易规模达12197.4亿元,同比增速707.0%,而2014年这一市场规模还将增长141.1%。越来越多的不法分子正虎视眈眈着人们的。 不死木马的传播使得越来越多人的存在着巨大隐患。那我们的还安全吗?我们还可以继续使用络支付吗?若一旦遭遇被盗,人们可否得到合理赔偿,有否有人能够承担相应的也成为人们日加关心的话题之一。

近一段时间关于移动支付的数据和话题让人眼花缭乱,春节长假里,支付宝支付超过1亿笔,京东通过白条切入信用支付领域,小米则悄无声息地切入了这一战局。随着移动互联的发展,被赋予了钱包的功能,钱包取代实体钱包的势头越来越明显,同时,惦记钱包的小偷也就多了起来。

不死木马恶意骚扰 影响着人们的日常生活

这里是奇虎360公司的安全中心,也是目前国内最大的互联免费安全平台,几百名工程师在各自的领域忙碌着,看似平静的键盘声背后,实际这里每天都在演绎着惊心动魄的故事,提起两个月前发生的一幕,即使是这些专业级的工程师至今仍心有余悸,2013年12月中旬开始,安全中心陆续接到一些用户反馈,自己的页面上莫名其妙多出许多软件。

用户:我的莫名其妙的会有一些软件装进去,然后我点击把它们删除掉之了之后,就是隔两天它又会安装上了,然后这些软件全都是那种什么,赌钱啊,或者是那种要收费的游戏软件,然后我频繁的删也删不掉。

360 安全工程师和《经济半小时》讨论不死木马问题

通常情况下,出厂时,部分厂商会在里预装一些应用程序,起初360安全中心的工程师还以为用户反馈的是系统内的预装程序,并没有引起足够的重视,然而到了2013年底,类似的反馈越来越多,此时用户向安全工程师反馈了一种更为奇怪的现象。

360安全工程师张浩然:用杀毒软件杀毒,能够杀出木马来,但是杀掉之后,重启,这个木马又会再出现,然后呢,我们工程师也联系了部分用户,想在他里提取样本,包括我们当时也觉得很迷惑,断的情况下杀毒,包括把用户里所有的应用都打包发给我们,我们依然没有发现有什么异样的东西。

事情开始变得蹊跷起来,初步判断,困扰用户和工程师的肯定是一种新病毒,但这新出现的神秘的病毒到底藏在哪呢?尴尬的是,由于用户储存着大量个人信息,安全团队手上没法拿到病毒样本,病毒分析一时陷入了瓶颈。直到2014年1月5日,病毒继续肆虐,分析才有了新的进展。

360安全工程师张浩然:直到1月5日,我们有同事身边的一个朋友的也出现这种情况,我们就是联系他那个朋友,把这个拿到了我们公司,终于有机会对这个进行了一次彻底的体检,我们居然在的磁盘引导区发现了这个不死木马,英文名字我们管它叫oldboot。

感染不死木马(oldboot)

oldboot是指可以肆意修改设备的boot分区和启动配置脚本的木马,导致用户可能出现大量自己没有安装过的软件,而这些软件通常包含大量广告甚至恶意程序,对用户形成恶意骚扰。

360安全工程师张浩然:这个当时也让我们很震惊,这也是能解释之前为什么我们一直发现不了,因为以往的木马,都是在系统内,以一个应用的形式,在系统内出现,我们只要把这些应用拿过来就能发现了,但是这个木马不一样,它在的磁盘引导区,等于是它有极高的系统启动权限,它就在你启动系统的时候,它往你系统里释放些恶意软件,它本身存在于磁盘引导区的,所以我们一直发现不了。

带着既兴奋又忐忑的心情,安全团队着手分析这个不死木马的功能和意图,分析出来的结果大大超乎了安全团队的想象。

360安全工程师张浩然:这个木马的行为,实际上我们从分析它的代码来看,它能实现很多行为,有你系统的最高权限,它可以拿到的,有你最高权限就可以做任何事,基本上我们理解成它可以做任何事,可以去监听你的通话,可以去偷你的短信,可以去盗你的一些账号密码,都是可以实现的。

工程师们说,木马并不罕见,业内称这种被木马接管的为肉机,但这种不死木马功能十分强大,虽然在用户手上,但不法分子通过木马可以远程操控用户的,对于那些习惯使用支付业务的用户,和绑定的储户来说存在相当的风险。

360安全工程师张浩然:你看这台,是一台已经中了不死木马的,我们看现在这页有很多色情类的,包括赌博类的软件,都是不死木马偷偷地下载下来的,这个用户根本没有手动下载这些软件,而且这些软件在正规市场也不可能存在。不死木马的行为就是去把这些软件下载到,再装上它 ,而且是静默安装的,你不知道,只有它装完了才看见,这儿有这么一个东西。

央视财经《经济半小时》:现在我们把它删了,会出现什么情况?

360安全工程师张浩然:你如果把它都删掉的话,然后可能过段时间,他还能偷偷给你下下来,他是可以控制什么时候下什么软件的。

央视财经《经济半小时》:软件还不是这一种?

360安全工程师张浩然:不是一种,这个木马的作者,是赚推广的钱。提供了一个渠道。你给我钱我就装你的,他给我钱我就装他的。

全方位监测显示,木马早期的表现就是在后台偷偷下软件耗费用户的流量,随后就会一步步接管用户的。

360工程师张浩然:因为这个木马的它的功能非常多,而且它的权限很高,基本上就是等于你的虽然在你手里,但是别人其实可以远程操控它,可以让它做很多事,下软件啊,发短信啊,收短信啊,都能做。

虽然安全团队研究清楚了 不死木马存在的位置和意图,但是要彻底清除这些木马,安全团队却遇到了前所未有的困难。

360工程师张浩然:我给你打个比方,比如在你盖房子的时候,它在你的地基那就给你放了一个监听的设备,靠平常的扫除,你是找不到它,是清除不掉它的,要想把它找到,你得拆房子,这个木马也是,它在的磁盘引导区,把它理解为是一个想启动时候必须读的一个重要的文件,如果我们想要把它清除掉,我们要用正确的文件把它替换掉,但是因为安卓的机型特别特别多,如果我们想把它替换掉,极有可能发生的是,如果他这个型号和我们认为的文件不匹配,就变砖了,就没法用了,这个风险太大了。

经过多方考虑,并保证中不死木马的,用户可以正常使用,安全团队选取了一个折中方案。

360工程师张浩然:最后我们终于出了一个没有机型适配问题的一个方案,就是把这个不死木马给锁住,把它关起来,它没法作恶,就和它没有是一样的,我们可以这么理解,它也不会再被激活,我们把它灭活,你可以理解为把它锁住了,它是这些下载的行为,包括监听,包括它盗你号,都实现不了了。

360 工程师试图破解不死木马病毒

虽然最后的结果在安全团队看来还不完美,但安全团队将这次直面 不死木马的经历形成报告后,在全球安全领域引起轩然大波。

360工程师张浩然:我给你讲一下,就这个木马,我们把英文报告放到国外之后,在全球范围都引起反响了,因为从来没有出现这种木马,居然在我面前看到了,而且是一个迷惑了我们很久的难题,既兴奋又震惊,这个木马确实是前所未有的,而且从这个木马以后可以预见到,这种攻击方式的木马会越来越多,利用这种攻击方式,就是以后的传病毒的事件,(查杀)也会比原来更困难。

360安全工程师张浩然:用户上报以后我们经过一段时间的检测和分析,发现不死木马的一个很明显的特征,只要只要在这个目录下,系统文件目录下,存在这个文件,还有这个文件,还有这个文件,就存在不死木马。

虽然对技术领域完全是外行,但是在了解不死木马病毒的强悍后,我们的央视财经《经济半小时》还是禁不住震惊。在发现这一超级病毒后,检测显示,全国范围内不死木马感染量至少已经超过50万部,并且大量的因为没有安装任何安全软件,无法检测, 不死木马感染的总量还是未知数。那么利用这些木马程序,不法分子又能做到哪些,普通用户又该如何防范呢,广告之后,继续我们的调查。

面对日益火爆的移动支付市场,各种威胁也接踵而至,络安全工程师们发现的不死木马就是其中一种,在不法分子口中,这些感染不死木马的已经成了肉机,换句话说,虽然在用户手中,但是不法分子通过远程操控可以实现所有他做的勾当。这些中了毒的有哪些隐患,人们又该如何防范呢?

电子支付风起云涌 病毒疯狂传播

2013年移动支付出现爆发式增长。央行2月中旬公布的《2013年支付体系运行总体情况》显示,移动支付的笔数和金额同比增幅双双超过200%,是2013年电子支付笔数和金额中增速最快的一块。来自市场研究机构的统计数据称,2013年中国第三方移动支付市场交易规模达12197.4亿元,同比增速707.0%,而2014年这一市场规模还将增长141.1%。伴随终端的普及,新的支付场景也在不断创新,金融理财、缴纳水电费、借款还款、吃饭AA买单、一起游戏等功能正在不断被开发。与之形成鲜明对比的是,2013年全年360互联安全中心共截获安卓平台新增恶意程序样本67.1万个,较2012年全年的12.4万个增长了4.4倍,平均每天截获新增恶意程序样本近1838个。在成功拦截这一病毒后,络安全工程师们并没有兴奋,相反,很多工程师觉得心情越发沉重。

机的钱包功能受到严重威胁

360安全工程师张浩然:这个木马在木马史上算是一个里程碑式的木马,其实业内大家一直都觉得这种木马会发生,因为在个人电脑端是有这种木马形式存在,但是在上一直没有,居然在我们中国发现了,这个事也很震惊,也算挺悲哀的,这个证明我们中国刷机的产业链,包括整个销售的产业链,包括全国市场,确实得有大量这种(植入木马)市场,才有利益驱动,有人造这个木马。

这位工程师所说的刷机指的是通过一定的方法更改或替换中原本存在的一些语言、图片、铃声、软件或者操作系统。通俗来讲,刷机就是给重装系统。

360安全工程师张浩然:经过我们分析这个木马,它必须得人手把它刷进磁盘引导区,最后买到,有这个木马就证明了这个在从出厂,到你手中某个环节,被人手工地刷进这个木马。

这位工程师告诉《经济半小时》,手动植入木马有若干途径,除了购买到预装有不死木马的外,不死木马传播途径还存在于维修中,部分维修店会在刷机的过程中做手脚,从而获取利益,那么事实是否如此呢,央视财经《经济半小时》随同工程技术人员在北京一些市场进行了暗访。

维修店工作人员:装一个软件一两块钱,装一次激活一次两块钱。

360安全工程师张浩然:这个不死木马牵出的产业链是非常可怕的,一个专门往里刷木马的,刷到50万台,最起码是一个成规模的东西在存在,而且为什么他能刷出这么多东西,就包括之前也有过一些调研,随便你去中关村的一个摊位上,你让老板帮你往里刷个什么软件,给他钱了就给你刷,基本你只要钱给到,都会给你刷,不管你是恶意软件,还是其它木马,他都不管,直接往里刷。

而在安全工程师万仁国看来,预装的不死木马虽然可怕,但第三方应用市场及论坛才是恶意程序传播的主要途径,占比超过60%。其次的传播途径才是预装和恶意址。

360安全工程师万仁国:比如说常见的钓鱼里面,都会获取我们的电商平台的账号,包括支付密码,包括身份证号,以及银行卡,当他们一旦将这些信息获取到之后,他就可以再通过比如获取短信验证码,就能实施攻击了。

接下来,安全工程师向央视财经《经济半小时》展示了通过二维码下载的捆绑在游戏里的木马。

安全工程师万仁国:这个软件是从一个论坛上下载到的,当我们安装好它之后,我们去点击运行它的时候,它会去提示我们安装一个所谓的资源。

央视财经《经济半小时》:软件需要安装资源包。

安全工程师万仁国:这个时候我们点取消是没有用的,我们点了取消之后,它没过一会儿还会弹,必须你去装。

央视财经《经济半小时》发现如果想玩这款游戏,必须得安装一个资源包,安装完资源包后游戏恢复正常。

体验360 软件 恢复被感染木马病毒的

可《经济半小时》并没有发现有任何的异常现象,随后安全工程师道出了其中的秘密。

安全工程师万仁国:这个软件,当我们激活之后,貌似我们现在系统很正常,但实际上这个时候,我们的已经植入了木马,它可以干什么呢,比如大家里面可能会装上工行的一些应用,或者其它银行的应用,一瞬间,就切到了一个说要求我的号,以及注册卡的账号,以及比如银行的姓名,卡的账号,还有密码等等,实际上这就是一个假的界面,当我们在页面里面,把所有信息都输入之后,它获取到了,然后再调真的工行。

事实是否如这位安全工程师所说呢,采访中,安全工程师提到了一个细节让央视财经《经济半小时》恍然大悟。

安全工程师万仁国:所以我们在点开这个建设银行,跟刚才已经不一样了,刚才我们可以看到,打开一个首页,会有很多的介绍,就是在这个地方,我们看,点击的话都是没有反应的。

安全工程师介绍,通过二维码传播恶意程序的比例在2013年增长迅速,一方面是由于二维码应用越来越广泛,扫二维码已经成为许多用户的日常习惯,另一方面也是由于多数二维码扫码工具并不具有识别恶意址的能力。只是简单讲二维码反应成站地址。这就给恶意程序通过二维码传播创造了更为有利的条件。但安全工程师表示,在所有恶意程序中,虚假电商的客户端是最具欺骗性的。随后安全工程师向《经济半小时》展示了虚假淘宝app的运作手法,在这个桌面上放着3部,尾号为0820的央视财经《经济半小时》,尾号为0922的中毒,尾号为5464的收号,随后《经济半小时》在纸上随意写上淘宝账号、密码、身份证号,安全工程师为《经济半小时》展示了不法分子如何通过木马截取用户信息。首先,拿出尾号为0922的中毒,在页面上显示了一个淘宝app,看上去和正规的淘宝app并无差异。

安全工程师万仁国:我给大家运行一下,这个界面是跟正常淘宝客户端是一模一样的,但实际上这里面是,它是能够将我们这一块输入的帐户信息给截取走,然后我就按照这个《经济半小时》的要求,输入这个相应的帐户名和密码。

安全工程师在尾号为0922的中毒中输入《经济半小时》随机编写的淘宝账号和密码。

安全工程师万仁国:密码,对吧?我点登录,这个时候就会发送一条短信出去了,那么在这个里面,就会收到这条短信。

央视财经《经济半小时》:等会,不着急。我们看一眼啊。用户、密码,就相当于把这个的信息,直接发送到。

安全工程师:黑客指定的这个上。

央视财经《经济半小时》发现,在尾号0922上填写的任何账号和密码信息,都会以短信的形式送到尾号为5464的中。安全工程师表示,这还没有结束,如果此时用户还没有察觉,虚假客户端会继续骗取用户的身份证号。

安全工程师:名和密码已经发送到这个指定上了,接下来我们可以看,它还会骗取我们的身份证信息,接下来我们点提交,这时候这个假的客户端,就是这个木马客户端,它就直接退出了,实际上它是没有任何功能的,不起任何作用,但是它关键核心点就是用来获取用户名,密码还有个人的身份证号这种隐私信息。这时候我们看到,这个身份证信息,也已经发送到指定的上来了。

除了这些,安全工程师表示,事实上虚假客户端能做的远比这些要多得多。他用尾号为0820的央视财经《经济半小时》向尾号为0922的中毒发送了一条信息,此时出现了让央视财经《经济半小时》吃惊的一幕。

,中毒和负责收号的工作图

360安全工程师:从央视财经《经济半小时》的上,像这个植入木马的,发送了一条叫验证码1234的短信,我们看到这个短信已经自动转发到这台设定的上了。

从尾号为0820的央视财经《经济半小时》发出的验证码,通过中毒,准确无误的传到了尾号为5464的收信中,不发分子只要设置好收信,就可以随时随地的接受用户的个人信息。而对这些,用户绝大多数难以察觉,根据中国反络病毒联盟的分类标准,恶意程序分为资费消耗、恶意扣费、隐私窃取、诱骗欺诈、流氓行为、破坏系统、远程控制和恶意传播这8个主要类别,在有些人眼中,似乎变成了手雷。面对这些恶意的病毒,用户们真的只能束手待毙吗?在发现了不死木马的工程师们看来,当用户在急于奔向移动支付、钱包的过程中,最重要的是,对于风险要有预判。

现在移动支付已经成为一种趋势,很多的商家,包括消费者本身,也都在追逐这个潮流,其实我们很多的普通用户,他对上的安全威胁,包括移动支付的风险,并没有一个足够的认知,他对这个可能带来的损失,也没有做好准备就进入。

业内人士指出,除了这些外,面对近乎爆发的市场,络公司和电商光做好自己的平台安全是远远不够的。

我们把安全比喻为一个木桶,而这个木桶所能盛装的水的多少,取决最短的那块板,而在安全里面,我们可以把比如用户的个人信息,包括用户的使用习惯,以及电商平台,等比做为这个木桶中的一块木板,最短的木板就决定了这个木桶所能承装的水,也就是我们的用户的安全性。

【半小时观察】

今天,对于我们很多人来说,出门三大件已经从钥匙、钱包、交通卡变成了、平板、充电宝。一个小小的在一步步影响我们的生活,同时暗中一双双 黑手也伸向我们的钱包。我们的还安全么?相信每个人看完节目后都会有这样的疑问,如何让我们的变得安全,面对疑问,能够做出解答的也只有技术和管理部门。特别是互联企业及银行作为终极受益者,更应该及时加强技术监管,在努力发展业务的同时,帮助用户管理好钱包。从互联企业方面来讲,在用户遭受诈骗时,可合理赔偿用户损失,承担相应的的。从银行方面来讲,需加强监控,实时监控,主动构筑起防火墙。只有守护好用户的钱包,才能守护好欣欣向荣的移动支付产业。

关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本内容转载自其他媒体,目的在于传递更多信息,并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

杭州治疗癫痫病医院
兰州妇科专科医院
四川省生殖专科医院挂号
江门治疗宫颈糜烂费用
廊坊癫痫病是怎么来的
标签

友情链接