新闻链接：http://sec.chinabyte.com/469/12901469.shtml
新闻时间：2014-03-28 08:11
新闻正文：随着手机安全软件的普及，一些手机木马也正在不断进化、升级，企图通过攻防逃过被安全软件无情查杀的命运。最近某信息安全中心日前发布技术研究报告称，安卓平台上出现首个采用进程保护手段的恶意木马——“恶魔守护者”，该木马一旦发现主木马程序被删除或查杀后，会在短短30秒时间内将其原地满血“复活”。

　　与此同时，“恶魔守护者”木马利用安卓系统多个漏洞获取ROOT(管理员)权限，私自下载安装多个软件，拖慢系统运行，占用系统空间，大量消耗网络流量。

　　研究发现，“恶魔守护者”主要由主包android.system.manager和由主包释放出来的子包com.android.tservice组成。木马抓住了手机用户想要卸载内置软件的需求，伪装成需要ROOT提权功能的软件，如“内置软件卸载”。木马会利用多个已经公开的安卓安全漏洞来获得ROOT权限，有了ROOT权限，木马就有了对抗安全软件的能力，甚至可以将安全软件删除。

　　报告显示，主木马程序在手机中招后会首先完成获得ROOT权限，恶意子包的释放、安装和运行等基本工作。主木马程序还会偷偷联网上传手机的固件信息到黑客指定的服务器。

　　为了经济利益，PC端木马的一些攻击方法也逐渐出现在手机上，从范围上也从应用层转变为对系统底层的攻击，非常值得我们警惕。手机用户在下载应用时，要尽量选择经过安全检测的应用市场进行下载。除此之外，还可以使用保护数据本源的加密软件，从源头上避免遭遇这种“高精尖”手机木马!

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)