日前，360手机安全中心发现了首次在Android系统中通过感染方式进行自我保护的木马病毒——“蜥蜴尾”，采用“注射”式的静态感染方法入侵手机底层系统，查杀难度高，还能繁衍数十万变种，感染力极强。





图1：“蜥蜴尾”木马两个ELF可执行文件的对比
360手机安全专家分析称，“蜥蜴尾”木马主要分为launcher和核心作恶的ELF可执行模块，图1为两个“蜥蜴尾”ELF可执行文件的对比，可以看出，其文件末尾嵌入随机生成的32位长度的字符串，同一版的“蜥蜴尾”木马则出现几十万个变种，并具有极高的感染性。



图2：被感染的系统库文件\system\bin\libglog.so
这种“静态感染”方式加大了查杀难度。首先，增强了“蜥蜴尾”的隐蔽性，被感染的系统文件装载时加载恶意launcher，接着launcher启动ELF可执行文件。由于被感染的系统库文件除了导入表多了一行字符串（launcher的路径）之外，与其他正常系统库文件完全相同，容易躲过安全软件的查杀。“蜥蜴尾”置于系统层感染

“蜥蜴尾”木马还能通过感染技术实现自我保护和隐藏自身恶意代码，具有PC端的病毒自我保护手段，能够在移动端大量使用了免杀、加密、隐藏、反虚拟机等传统PC端病毒自我保护技术，更加不容易查杀。

对手机隐私及流量安全威胁极大“蜥蜴尾”木马的ELF可执行模块包括distillery、plugins及redbean三个主要部分。只要手机受其感染，这些插件能够在受感染的手机中执行远程服务端指令、恶意扣费、短信拦截监控、下载和更新插件、后台通话等潜在恶意行为，泄露受感染手机用户的隐私，尤其是对流量安全有极大的危害，能在手机用户毫无察觉的情况下通过下载插件、订购业务等手段造成手机流量的大量流失，给用户造成经济上的损失。



图3：“蜥蜴尾”木马感染地域分布
360手机安全专家指出，“蜥蜴尾”木马感染的手机几乎涵盖所有主流机型，Android4.0.3以上系统成为感染重灾区，手机用户一定要通过正规渠道下载安装App应用，同时，安装专业的安全软件，开启安全监控。如果手机已经刷过第三方ROM或者手机已经Root，360手机安全专家建议手机用户采用360手机急救箱进行一次完整的深度扫描，查杀“蜥蜴尾”木马，保证手机使用安全。