錦繡中華，盛世華誕，馬上我們就要迎來新中國成立70週年的大日子！不論大家打算在手機上觀看熱血沸騰的大閱兵直播，還是上網為“阿中哥”打call應援，總之對祖國“花式表白”，即將成為今年十一假期“最燃”的度假專案。

但是，在我們“機不離手”的長假裡，不得不提防一種能給你手機致命一擊的Android Native病毒——“伏地魔”。360安全大腦的長期監測，發現自2016年6月起，“伏地魔”病毒便活躍於使用者手機裡。它不僅能偽裝手機系統檔案，更帶來揮之不去的煩人廣告及惡意應用，嚴重影響手機正常使用，甚至被莫名扣費。而根據統計，感染“伏地魔”病毒的手機使用者已超過100萬。

就在節前，360安全大腦釋出《相容安卓64位的“伏地魔”病毒分析報告》，首次詳細披露了“伏地魔”病毒3年來的演變程式，以及其不斷進化的全新變種；並且全面分析了“伏地魔”病毒在全國範圍的傳播疫情和攻擊態勢。

“伏地魔”散播五湖四海，64位病毒呈高發態勢

       

至於中招手機的版本，多達92% 集中在Android5.1和Android4.4，其中Android5.1受災最為嚴重，佔比達60%；其次，“伏地魔”病毒的64位版本影響範圍主要為Android5.1和Android5.0。

必須警惕的是，在64位作業系統已成Android手機主流趨勢的當下，越來越多的Android Native病毒開始相容64位手機，“伏地魔”的不斷演變並發展成為支援64位手機的“致命”病毒，正是這一趨勢的具體體現。因此，360安全大腦發出預警：未來可能是64位Android Native病毒的高發期，移動端安全防護變得更為嚴峻。

鬥智鬥勇“掩體戰”，手段高超躲避殺軟

針對新出現的變種版本，360安全大腦確認其“危險係數”極高。一方面“伏地魔”是APP界出色的“偽裝者”，不僅病毒母包可以假扮成“討喜好用”的正常APP程式，像掌上快訊、水果忍者之類，而病毒模組則可以“冒充”手機系統檔案，外觀和核心都真假難辨。

另一方面，“伏地魔”也有著高超的對抗手段，例如病毒會在開機執行5分鐘以後，才開始安裝、拉起惡意應用；執行20分鐘後，才開始偷偷訂閱服務、惡意扣費……總之，攻擊者精心設計了“定時觸發”，再加上“加密混淆”、“HOOK注入”、“多重檢測”等各式各樣的“保命”方法，讓“伏地魔”躲過殺軟查殺，實現對抗殺軟。

與此同時，“伏地魔”病毒主要透過偽裝小遊戲、色情應用，以及第三方ROM等方式進行傳播。中招使用者一旦感染病毒就會像擰開病毒的“閥門”，除了推送霸屏廣告，還會陸陸續續下載其他病毒應用以及更多推廣軟體，形成一個惡性迴圈；同時，該病毒還會私自訂購業務，造成使用者直接經濟損失。

“伏地魔”病毒詳細技術分析：

經過360安全大腦的進一步溯源分析，確認“伏地魔”病毒主要由任務排程模組、ROOT提權模組、注入模組、惡意扣費模組四大模組組成，其整體執行流程如下：

• 任務排程

病毒應用執行後，首先檢測裝置狀態，防止在非使用者執行環境觸發惡意行為；檢測透過後，會對使用者手機進行註冊，並設定定時觸發任務。病毒應用在執行一段時間後，會向雲端傳送更新請求，下載並動態載入惡意檔案artificial.jar。

（任務排程時間軸）

• ROOT提權

惡意檔案artificial.jar執行後，會向雲端請求ROOT提權方案。ROOT提權模組則主要包含yaiekvzmsqyulmrx.jar、 .dmpsys（開源Superuser的SU模組）等檔案，用以完成如下任務：

1）  獲取手機ROOT許可權；

2）  向雲端請求下載任務，獲取應用推廣配置檔案/data/.notify/cfg；

3）  執行惡意推廣：惡意推廣的應用分ROM內應用（安裝到/system/app、/system/priv-app、/system/framework等目錄，使用“cat  > ”命令進行安裝），以及普通應用（安裝到/data/data目錄，使用pm install命令進行安裝）兩類。

ROOT提權模組主要使用了CVE-2016-5195（髒牛漏洞）、開源提權方案、針對特定品牌手機的提權漏洞進行提權。

• 應用保活與注入

在獲取到手機ROOT許可權後，病毒應用會載入注入模組sysutils.so，其使用動態感染技術，隨系統庫檔案一同載入，以“掩人耳目”；此外，“伏地魔”病毒還多次使用ELF檔案內部釋放邏輯，以進一步增強隱蔽性。注入模組主要完成以下任務：

1）  釋放應用保活模組 .notify：該模組會讀取/data/.notify/cfg配置檔案，而後使用cat命令安裝惡意應用至手機ROM，並啟動該惡意應用；

2）  執行系統命令：修改.notify，.dmpsys檔案許可權為0755，並執行；

3）  注入惡意扣費模組進行扣費：利用開源框架ELFHooker將android_servers.so注入到手機Phone程式，為惡意扣費做準備。

（注入模組sysutils）

• 惡意扣費
  

惡意扣費模組android_servers.so會釋放惡意檔案runtime.jar，並載入其o.r.g.Apt.run()方法，以實現：1）後臺監控收發讀寫簡訊；2）私自訂購業務並扣費等惡意行為。

如下是惡意扣費模組的演變程式，可以看出該模組具有較多變種，並且更新頻繁，經過多次升級後，其功能逐步趨於完善，隱蔽性也在進一步增強。

其執行惡意監控、收發讀寫簡訊的程式碼片段如下：

安全建議：

病毒作者在獲取到手機ROOT許可權後，就擁有了手機控制權，可以“為所欲為”，就像一顆“定時炸彈”，移動網際網路的今天，手機已成為人類“新的器官”，其承載了我們太多的個人資訊，為保障個人隱私和財產安全，360安全大腦建議：

1.      尋找“360手機衛士”神助攻：360安全大腦始終保持對Android Native病毒動態的密切關注，並已支援上述病毒的全面一鍵查殺，擔心手機安危的小夥伴們，可以及時透過360手機衛士官網及各大軟體市場安裝/更新360手機衛士，對愛機進行一次全面“體檢”；

2.      使用廠商官方ROM：第三方ROM刷機包也是Android Native病毒傳播渠道之一，市面上的ROM包“魚龍混雜”，切記不要隨意下載刷入安全性未知的第三方ROM；

3.      透過正規手機應用市場下載安裝APP：五花八門的應用下載網站是Android Native病毒的藏身樂園，普通使用者難辨網站真偽，透過正規手機應用市場下載安裝APP可有效規避中招風險；

4.      及時更新系統及補丁：及時升級系統、安裝系統更新補丁可有效降低漏洞利用風險。

相關C&C伺服器資訊：

相關APK列表：