手机应用程序获得root权限最主要的危险在于，他们可以在手机用户不知情的情况下，为更复杂、更危险的恶意程序提供入口。近日，360移动安全中心发布了《百脑虫之HOOK技术分析》报告，公布了“百脑虫”手机病毒最新发现模块中使用的高超技术，该模块的发现也使得“百脑虫”成为史上最复杂的利用Root技术的恶意样本。

于2015年末爆发的“百脑虫”手机病毒不仅感染量过百万产生严重威胁，其披着色情的外衣寄生于此，使用高超技术伺机而动、擅长嫁祸，在用户毫无察觉的情况下修改短信内容恶意扣费，成为移动安全领域新威胁。

图1：“百脑虫”木马最新模块框架流程

寄生于色情，“百脑虫”感染量早已破百万

360 手机卫士安全团队发现，“百脑虫”木马母体一般寄生在色情应用或手机预装中。相关色情类应用并无实质上的内容，仅仅是图标和名字很诱人，诱导用户下载安装。而一旦安装，“百脑虫”木马就相当于找到了宿主，用户即使卸载相关应用，病毒母体也不会被卸载。用户每开启一次手机，“百脑虫”病毒就会自动启动，即使手机恢复出厂设置也依然不能被清除。

图2:360手机卫士报告公布“百脑虫”病毒注入Zygote流程

360手机卫士安全专家分析表示，“百脑虫”手机病毒为成功入侵用户手机，专挑色情类、游戏类、预装类应用下手，以插件的形式潜入，而后通过网盘、论坛或色情网站进行大量传播。以这种方式，“百脑虫”手机病毒在2015年末时感染量已超过百万。

移花接木 “百脑虫”专门“陷害”正常APP

360手机安全中心的报告同时详细分析了“百脑虫”手机病毒的行为。研究中发现，“百脑虫”病毒具备产生恶意扣费、云端服务器加载恶意代码、修改系统核心文件、使用高超的技术手段几大特点。

图3: “百脑虫”病毒在各个APK中的病毒模块

“百脑虫”手机病毒最擅长“陷害”他人，不断作恶却让APP应用为其背黑锅。360手机卫士安全团队发现，该病毒能够注入所有APP应用，在APP应用进行短信订购支付时，病毒可以判断是否包含移动应用商城模块，从而替换支付内容，导致用户支付后也没有得到应用的功能。APP厂商通常没有充值记录，这导致用户误以为是APP应用厂商的程序有问题。就这样，“百脑虫”木马偷了用户的钱财，还成功嫁祸于应用厂商。

图4：“百脑虫”病毒成移动安全新威胁

同时，该病毒通过云端服务器加载恶意代码可实现随时更新功能，可能今天执行扣费命令，明天执行盗取银行密码、支付宝密码指令，后天安装各种APK应用等；并且不会留下恶意扣费的相关证据，难以取证。通过修改系统核心文件，“百脑虫”让用户手机系统易死机，应用启动迟缓。

以高超的技术手段作为支撑，“百脑虫”病毒同时能够注入zygote修改framework。360手机卫士安全专家表示，这需要对安卓手机底层了解非常透彻才能有如此大作，“百脑虫”手机病毒可能是分工明确的团队产品。

移动安全新威胁 360手机卫士安全专家提出防范建议

防范此类技术高超、隐蔽性强的手机病毒，360手机卫士安全专家建议，安卓手机用户不要随意开放root权限；日常使用手机过程中，谨慎点击软件内的推送广告；来源不明的手机软件、安装包、文件包等不要随意点击下载；手机上网时，对于不明链接、安全性未知的二维码等信息不随意点击或扫描；使用360手机卫士等手机安全软件定期查杀手机病毒，养成良好的手机使用习惯。

此外，如发现手机已有“百脑虫”手机病毒“毒发”迹象，可下载使用360手机卫士的手机急救箱查杀。360手机急救箱独有的深度完整扫描，可以深度扫描和完美清除底层ELF病毒和APK病毒。