“史上最強Android木馬”暴力破解分析

最近有媒體爆料，最進階的Android木馬已經現身，據稱“它能利用Android作業系統此前未知的漏洞提升程式許可權，並能阻止被卸載。”該惡意程式被稱為“Backdoor.AndroidOS.Obad.a”，其惡意行為是通過悄悄向增值服務號碼傳送簡訊獲利。利用Android未曾發現漏洞並且無法卸載，“史上最強Android木馬”有多神奇？就此，手機安全專家為我們做了深度剖析，詳解攻破 “最強木馬”三層防查殺的整個過程。

第一層：封堵病毒分析主要入口 阻止安全工程師擷取安全資訊

首先，該木馬為逃避殺毒軟體查殺確實煞費苦心。它在代碼中採取了一些專門針對病毒分析人員的措施，為安全公司分析它增加難度。例如，大多數安全公司分析Android木馬樣本時，通常採用AXML解析工具來解析樣本的主設定檔——AndroidManifest.xml文 件。該檔案包含了Android應用的主要模組入口資訊，是木馬分析時的重要線索。Obad.a木馬故意構造了一個非標準的 AndroidManifest.xml檔案，使得病毒分析人員無法得到完整資料。

第二層：對指令代碼進行特殊處理 阻止反編譯

該木馬除了對代碼進行加密處理以外，還通過對指令代碼進行特殊處理，使得安全公司常用的Java反編譯工具無法正確地反編譯其指令，增加對木馬的分析難度：

第三層：利用系統缺陷阻止使用者卸載

該木馬為防止被使用者發現後卸載煞費苦心。Android系統從2.2版本開始，提供了一個“裝置管理員”的功能，其初衷是為企業部署遠程IT控制使用，為了防止員工私自卸載企業安裝的“裝置管理員”，一旦啟用裝置管理員之後，該裝置管理員就不可刪除。但是，由於Android系統對此功能設計的不完善，使得木馬可以利用這個機制，讓自己註冊成為一個裝置管理員，從而阻止使用者卸載。

木馬首先會提示使用者“啟用裝置管理員”：

而一旦使用者不慎點了“啟用”，那麼木馬就被註冊成了裝置管理員，此時該木馬的“強行停止”和“卸載”按鈕將完全失效，即，木馬無法關閉，也無法卸載：

最可怕的是，裝置管理員還存在一定缺陷，當木馬故意以一種錯誤的方式來註冊裝置管理員時，Android系統也能讓它註冊成功，但是在裝置管理員列表中不會顯示。使用者因此找不到取消註冊裝置管理員入口，無法取消木馬的裝置管理許可權。

系統中甚至不會列出木馬所註冊的裝置管理員