今年五月中旬，360手機(jī)安全中心收到用戶反饋稱自己的手機(jī)經(jīng)常自動(dòng)安裝新的游戲應(yīng)用，經(jīng)360手機(jī)安全中心分析排查發(fā)現(xiàn)，該用戶中招的是一個(gè)名為“萬(wàn)藍(lán)”的ROM級(jí)別手機(jī)木馬，該木馬影響用戶達(dá)10萬(wàn)以上。該木馬主要通過(guò)聯(lián)網(wǎng)下載shell腳本文件進(jìn)行靜默安裝推廣應(yīng)用，并可以實(shí)現(xiàn)自身升級(jí)。360手機(jī)安全中心發(fā)布技術(shù)博客，對(duì)“萬(wàn)藍(lán)”木馬進(jìn)行詳細(xì)分析。

　　360技術(shù)博客介紹，“萬(wàn)藍(lán)”木馬主要通過(guò)植入ROM，通過(guò)刷機(jī)網(wǎng)站進(jìn)行傳播。到目前為止，惡意樣本主要是植入為夏新、聯(lián)想、小采等手機(jī)開(kāi)發(fā)的三方ROM進(jìn)行傳播，用戶手機(jī)刷入被感染的ROM后，木馬便瘋狂地開(kāi)始推廣傳播各種應(yīng)用，總數(shù)高達(dá)近百種。

　　“萬(wàn)藍(lán)”木馬會(huì)聯(lián)網(wǎng)下載shell腳本文件，把要執(zhí)行的惡意行為寫(xiě)在腳本里，木馬的wlan進(jìn)程大部分功能在于執(zhí)行這些腳本，這樣就大大方便了病毒作者進(jìn)行更新，也方便作者控制中招手機(jī)去執(zhí)行更多惡意行為，潛在風(fēng)險(xiǎn)巨大。

　　技術(shù)博客分析指出，“萬(wàn)藍(lán)”木馬啟動(dòng)時(shí)會(huì)嘗試給自身在系統(tǒng)目錄中建立一些符號(hào)鏈接，當(dāng)系統(tǒng)中有其它程序執(zhí)行這些命令時(shí)，木馬就會(huì)被啟動(dòng)。之后，通過(guò)初始化任務(wù)池、建立自身運(yùn)行時(shí)所需的目錄和文件進(jìn)行手機(jī)木馬初始化，為之后執(zhí)行惡意行為做準(zhǔn)備。值得注意的是，該木馬啟動(dòng)后會(huì)初始化一個(gè)結(jié)構(gòu)體，里面包含了50個(gè)可執(zhí)行命令任務(wù)池的子結(jié)構(gòu)。

　　360手機(jī)安全專家分析指出，“萬(wàn)藍(lán)”木馬是通過(guò)Linux管道來(lái)進(jìn)行通信的，管道是Linux的一種通信方式，相當(dāng)于一根管子，一個(gè)人在管子左邊，一個(gè)人在管子右邊，左邊的人不停的往管子里放東西(寫(xiě)數(shù)據(jù))，右邊的人就不停的從管子拿東西(讀數(shù)據(jù))，右邊的人拿到數(shù)據(jù)后就能夠處理這些數(shù)據(jù)了，“萬(wàn)藍(lán)”木馬作者將要執(zhí)行的命令、腳本寫(xiě)到管道里，之后wlan進(jìn)程就可以執(zhí)行這些命令。

　　木馬從服務(wù)器上獲取要運(yùn)行的命令(shell腳本)，再調(diào)用諸如 input、am、pm等系統(tǒng)命令，木馬就可以實(shí)現(xiàn)啟動(dòng)應(yīng)用、靜默安裝應(yīng)用、卸載應(yīng)用、結(jié)束應(yīng)用、刪除應(yīng)用數(shù)據(jù)、結(jié)束后臺(tái)進(jìn)程、發(fā)布intent廣播等40多種惡意行為。

　　此外，該木馬還會(huì)通過(guò)兩種策略實(shí)現(xiàn)自更新，一種是檢測(cè)自身主體wland文件的版本來(lái)判斷是否需要更新，一種是根據(jù)距離上次檢測(cè)更新的時(shí)間來(lái)判斷是否需要更新。該木馬自升級(jí)以后還可以實(shí)現(xiàn)私發(fā)短信、屏蔽短信、撥打電話等惡意行為。

　　通過(guò)遺留在木馬早期版本中的信息，360手機(jī)安全中心發(fā)現(xiàn)了木馬作者以及公司的相關(guān)信息，通過(guò)木馬鏈接的服務(wù)器地址判斷，該服務(wù)器屬于上海某科技公司，而木馬作者也可能就職于該公司。