【IT168厂商动态】近日，国内知名手机安全软件腾讯手机管家与全球云安全领导厂商趋势科技联合发现了一款新型Android系统内置手机病毒“权限杀手”。该病毒内置在ROM内，获取系统最高权限，并通过监控删除其他软件获取ROOT所使用的superuser.apk和su文件，从而禁止其他应用获取Root权限来删除自己，能很好地保护自己不被查杀。据调查发现，该病毒影响到的用户群体主要是水货手机买家和部分的刷机用户。

　　目前该病毒已经在国内水货与刷机市场快速蔓延与繁殖，并在短时间内被内置到超过10万余部手机当中，一旦遭受该病毒入侵的Android手机，用户不知不觉地被吸取大量流量资费，被安装上各种其他程序，但由于该病毒强大的反卸载能力，用户无法删除，只能忍受病毒的危害。基于该病毒的“防守性”与“攻击性”，其团队化作业程度前所未见，预计一旦在水货市场大面积感染将引发Android手机用户普遍性恐慌，基于此，腾讯手机管家已与趋势科技已发布“权限杀手”病毒专杀工具，查杀该新型病毒。

　　图：“权限杀手”病毒程序

　　腾讯移动安全实验室专家对该病毒进行了深入的分析，发现该病毒从传播到防查杀方面具有严密的分工逻辑，用户需要提高警惕：

　　1、该病毒利用ROM内置的形式传播。由于查杀ROM内病毒，首先必须要获得ROOT权限(超级管理员权限)，而该病毒先用一个程序阻止其他程序获取ROOT权限，删除root授权文件等，导致其他程序无法获取ROOT权限，从而达到自我保护。

　　2、在自我保护状态下，再启动其他程序来实施恶意行为，这样该病毒的恶意行为就有了保护伞，可以肆意妄为。

　　截至目前，“权限杀手”病毒已经通过水货刷具等渠道提前内置到10万余部安卓手机中，而且带有该病毒的ROM包仍然在各大手机论坛疯狂传播。

　　据腾讯手机管家与趋势科技安全专家透露，该病毒通过刷机包植入用户手机中，然后将Bluekey、Sndconsole 、Xinitd三个文件分别隐藏在系统目录下。这三个病毒程序各有明确的分工，分别负责防卸载、启动恶意程序、实施恶意行为，构成了严密的防查杀逻辑。

　　图：权限杀手病毒原理

　　病毒在/system/app下安装sndconsole.apk和bluekey.apk,在/system/bin下释放xinitd，并全部获取root权限。

　　图：Sndconsole.apk获取root权限

　　手机开机后Bluekey程序会自动启动，并监控与删除superuser.apk和su文件，这两个文件是其他程序获取Root权限的重要文件，一旦删除其他应用将无法获取Root权限，包括手机安全软件，以下为代码片段截图。

　　图：权限杀手删除superuser程序、删除su和卸载软件

　　开机后，Sndconsole也会自启动，并创建后台service，以下为代码片段截图。

　　图：Sndconsole创建后台service

　　Sndconsole Service会启动Xinitd程序，以下为代码片段截图。

　　Xinitd程序会接受服务器指令，根据服务器指令去下载与安装特定程序，由于Xinitd本身获取有Root权限，所以它可以静默下载与安装其他推广软件程序，以下为代码片段截图。

　　图：从指定网站上传和下载数据

　　图：静默删除或安装特定程序

　　安全专家表示，这也是“权限杀手”病毒的自我反卸载功能，因为手机安全软件无法获取Root权限就无法清除“权限杀手”病毒的相关文件。手机一旦感染了“权限杀手”病毒，会导致大量的手机流量消耗，同时还可能遭遇隐私泄漏、手机进程优先级被恶意修改等安全问题。

　　面对“权限杀手”病毒强大的反卸载能力，腾讯手机管家与趋势科技联合同步发布了“权限杀手”专杀工具，可以精准的检测手机是否存在“权限杀手”病毒，并根据具体情况给出有效的解决方案。

　　图：腾讯手机管家“权限杀手”病毒专杀工具查杀图