安卓系统再曝ROM级木马“万蓝” 360手机卫士首家查杀

ninehua 2025-03-13 18:40 42 浏览

今年五月中旬，360手机安全中心收到用户反馈称自己的手机经常自动安装新的游戏应用，经360手机安全中心分析排查发现，该用户中招的是一个名为“万蓝”的ROM级别手机木马，该木马影响用户达10万以上。该木马主要通过联网下载shell脚本文件进行静默安装推广应用，并可以实现自身升级。360手机安全中心发布技术博客，对“万蓝”木马进行详细分析。

360技术博客介绍，“万蓝”木马主要通过植入ROM，通过刷机网站进行传播。到目前为止，恶意样本主要是植入为夏新、联想、小采等手机开发的三方ROM进行传播，用户手机刷入被感染的ROM后，木马便疯狂地开始推广传播各种应用，总数高达近百种。

“万蓝”木马会联网下载shell脚本文件，把要执行的恶意行为写在脚本里，木马的wlan进程大部分功能在于执行这些脚本，这样就大大方便了病毒作者进行更新，也方便作者控制中招手机去执行更多恶意行为，潜在风险巨大。

技术博客分析指出，“万蓝”木马启动时会尝试给自身在系统目录中建立一些符号链接，当系统中有其它程序执行这些命令时，木马就会被启动。之后，通过初始化任务池、建立自身运行时所需的目录和文件进行手机木马初始化，为之后执行恶意行为做准备。值得注意的是，该木马启动后会初始化一个结构体，里面包含了50个可执行命令任务池的子结构。

360手机安全专家分析指出，“万蓝”木马是通过Linux管道来进行通信的，管道是Linux的一种通信方式，相当于一根管子，一个人在管子左边，一个人在管子右边，左边的人不停的往管子里放东西(写数据)，右边的人就不停的从管子拿东西(读数据)，右边的人拿到数据后就能够处理这些数据了，“万蓝”木马作者将要执行的命令、脚本写到管道里，之后wlan进程就可以执行这些命令。

木马从服务器上获取要运行的命令(shell脚本)，再调用诸如input、am、pm等系统命令，木马就可以实现启动应用、静默安装应用、卸载应用、结束应用、删除应用数据、结束后台进程、发布intent广播等40多种恶意行为。

此外，该木马还会通过两种策略实现自更新，一种是检测自身主体wland文件的版本来判断是否需要更新，一种是根据距离上次检测更新的时间来判断是否需要更新。该木马自升级以后还可以实现私发短信、屏蔽短信、拨打电话等恶意行为。

通过遗留在木马早期版本中的信息，360手机安全中心发现了木马作者以及公司的相关信息，通过木马链接的服务器地址判断，该服务器属于上海某科技公司，而木马作者也可能就职于该公司。

目前，360系统急救箱已经支持对该类恶意软件进行查杀，如遇到病毒反复查杀、手机自动安装软件等普通手机杀毒软件不能解决的异常现象，建议使用360系统急救箱进行查杀。同时建议手机用户从正规渠道购买手机，安装360手机卫士保护手机安全。

详细分析地址：
http://blogs.360.cn/360mobile/2015/06/10/analysis_of_wland/

声明：IT之家网站刊登/转载此文出于传递更多信息之目的，并不意味着赞同其观点或论证其描述。

360急救箱下载官网

上一篇：360小工具提取版断网急救箱+右键菜单管理+注册表清理独立版
下一篇：解决网络故障，360安全卫士断网急救箱更全面高效

安卓系统再曝ROM级木马“万蓝” 360手机卫士首家查杀

相关推荐

超强!批量修改文件名工具，一次处理上万个，支持各种网盘!

详解什么是BT种子、迅雷下载链接、磁力链接

potplayer在线字幕翻译插件——potplayer播放器功能插件推荐

麒麟桌面操作系统如何安装佳能打印机驱动程序(图文)

Gopeed，全平台多线程高速下载器，支持磁力BT下载，跑满宽带

磁力链接bt链接转直链IDM下载

P106/104系列显卡安装魔改驱动步骤

【Steam防坑指南】:教你识破“假入库”骗局!保住钱包和账号!

佳能R62、R7、R10解决ERR70问题的新固件来了，附详细升级方法!

方正兰亭黑系列/汉仪旗黑家族/思源黑体介绍与区别