新闻链接：e8cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4W2j5#2)9J5k6h3y4Z5K9h3&6S2j5Y4W2@1k6g2)9J5k6h3y4G2L8g2)9J5c8U0b7$3z5g2)9J5c8U0p5J5z5e0l9I4y4o6j5&6i4K6u0W2M7$3S2@1L8h3H3`.
新闻时间：2014-03-28 08:11
新闻正文：随着手机安全软件的普及，一些手机木马也正在不断进化、升级，企图通过攻防逃过被安全软件无情查杀的命运。最近某信息安全中心日前发布技术研究报告称，安卓平台上出现首个采用进程保护手段的恶意木马——“恶魔守护者”，该木马一旦发现主木马程序被删除或查杀后，会在短短30秒时间内将其原地满血“复活”。

　　与此同时，“恶魔守护者”木马利用安卓系统多个漏洞获取ROOT(管理员)权限，私自下载安装多个软件，拖慢系统运行，占用系统空间，大量消耗网络流量。

　　研究发现，“恶魔守护者”主要由主包android.system.manager和由主包释放出来的子包com.android.tservice组成。木马抓住了手机用户想要卸载内置软件的需求，伪装成需要ROOT提权功能的软件，如“内置软件卸载”。木马会利用多个已经公开的安卓安全漏洞来获得ROOT权限，有了ROOT权限，木马就有了对抗安全软件的能力，甚至可以将安全软件删除。

　　报告显示，主木马程序在手机中招后会首先完成获得ROOT权限，恶意子包的释放、安装和运行等基本工作。主木马程序还会偷偷联网上传手机的固件信息到黑客指定的服务器。

　　为了经济利益，PC端木马的一些攻击方法也逐渐出现在手机上，从范围上也从应用层转变为对系统底层的攻击，非常值得我们警惕。手机用户在下载应用时，要尽量选择经过安全检测的应用市场进行下载。除此之外，还可以使用保护数据本源的加密软件，从源头上避免遭遇这种“高精尖”手机木马!

[培训]科锐逆向工程师培训第53期2025年7月8日开班！