@Haggard
3年前 提问
1个回答

什么是蜥蜴之尾木马

delay
3年前

“蜥蜴之尾”木马是“长老木马”三代的进化版。主要恶意行为由三代的推广APP演变为监听电话短信、订阅SP扣费服务等。据有些用户反馈,单月扣费金额达数百元。

技术方面:

对抗安全软件:在移动安全领域首次采用了静态感染技术,感染系统运行依赖的库文件,加大了查杀难度。此外,还采用相似文件路径欺骗法、 样本MD5自变化等传统PC端的病毒技术。

自我保护:采用AES对称加密算法、自定义算法加密了所有相关插件、配置文件、数据库等。虽然AES加密算法已被很多病毒木马所采用,并不稀奇,但是隐藏解密所必须的public key的方法非常独特。不但每个插件、配置文件、数据库解密需要的publickey都不同,而且public key本身又以加密的形式写入到其他正常文件的尾部或加密数据文件的指定位置,加大了分析人员逆向分析的难度。

威胁方面:

后台监听:云端即木马作者可以不定时下发“后台监听”指令来建立远程通讯,实现远程监听用户的隐私,给用户隐私带来极大的威胁。

恶意扣费:云端即木马作者不定时下发“订阅”指令,指令参数包含商品名称、收费金额、SP计费点及订阅网点。木马收到指令后根据参数内容到指定SP网点“自动办理”订阅服务并屏蔽订阅回馈短信。因木马恶意扣费非常隐蔽且一般一次性扣费的金额较少,很多受害用户过了一段时间才察觉自己手机可能是中招。

隐私采集:云端可以下发“短信采集”、“基本信息采集”等指令获取用户敏感信息以进行再次获利。如果犯罪分子成功获取到这些数据对于用户来说意味着非常可怕的后果。比如短信包含很多与熟人相关数据,非法分子可以以“借钱”等为由向用户的熟人发送短信,危及到受感染用户周围的亲朋好友,其危害程度不言而喻。