安卓手机惊现“替死鬼”木马 利用正常APP“金蝉…

　　报告显示，“替死鬼”木马首先将正版APP和相关配置文件打包到木马程序的“assets”目录下，然后调用PackageManager(系统函数)中的setComponentEnabledSetting方法把自己的com.sysimg.image2.MainActivity禁用掉，这样自身图标会在系统的启动器中消失。随后启动系统安装程序，将正版APP释放并安装进手机。

　　360手机安全专家通过对比发现，两张截图中的图标一样(如下图红框标注)，看不出任何差别，但是他们却是指向不同的程序，左图启动的是恶意样本(启动后隐藏)，而右图启动的却是正常程序(被安装APK图标)。此时，恶意程序已经“金蝉脱壳”，隐匿于后台。手机用户对此真假难辨，即使卸载，也是卸载正常的APP。

　　图1：左图为样本的图标，右图为样本安装的原版APK图标

　　360手机安全中心分析发现，“替死鬼木马”通过监听手机用户解锁手机、安装或删除APP的操作来激发恶意行为。当木马运行后，手机会在桌面出现大量带有诱惑性的快捷方式，引诱用户点击，一旦点击就会触发下载行为，不但造成上网流量的大量消耗，其下载的程序安全性更不能保证：有可能是危害更为严重的其他木马文件。

　　图2：“替死鬼”木马会在手机桌面释放大量诱惑性图标 诱惑手机用户下载

　　360手机安全专家指出，这类“替死鬼”木马换个图标、换个正版APK就可批量生产，很容易就能造成大范围传播。因此建议手机用户使用360手机卫士安全防护功能查杀这类木马，并从360手机助手等正规市场下载手机APP。

　　360手机卫士最新版下载地址：

　　http://shouji.360.cn

　　“替死鬼”木马技术研究报告地址：

　　http://blogs.360.cn/360mobile/2014/05/30/false_scent_apk_file/