腾讯手机管家提醒：“脏牛”漏洞本地提权为恶意推广留后门

　　如今，各类资讯APP已经能够满足日常获取信息的需求，大家早已对运营商提供的手机报等增值订阅服务不再感兴趣。然而这类短信订阅服务却可能成为恶意软件实施攻击的手段。近日，国际知名安全厂商发现了一款新恶意软件ZNIU，利用“脏牛”(DirtyCow)安全漏洞获取设备的权限，后台自动订阅增值服务，给用户带来了资费消耗，已波及中国、美国、日本、加拿大和印度等全球40多个国家，截至目前5000多位用户受到影响。

　　“脏牛”CVE-2016-5195漏洞是在Linux内核存在九年的提权漏洞。那么恶意软件是如何利用“脏牛”进行攻击的呢? 腾讯安全反病毒实验室联合移动安全实验室，基于国际领先恶意样本分析能力以及强大的移动安全大数据能力，收集批量恶意样本，并对其演变趋势、传播渠道和影响范围做了深入分析。据研究发现，利用“脏牛”漏洞攻击的恶意应用从今年4月份就开始出现，主要以色情小游戏为主，并一直保持着版本变化和更新。

　　为了保护用户手机不受影响，腾讯手机管家依托自研杀毒引擎TAV，对类似恶意程序实现精准查杀，例如“**初体验”色情应用，其病毒特征在于私自发送短信定制扣费业务，删除回执短信，给用户造成资费消耗和隐私泄露。

　　(图：腾讯手机管家精准查杀短信定制扣费类恶意程序)

　　国内的用户如果不慎安装了包含恶意样本的色情APP，应用在运行时会自动与C&C服务器(远程命令与控制服务器)进行通信，自动收集用户的设备信息，并形成两种攻击形式：其一，恶意应用发送SP订阅短信给用户带来资费消耗。需要注意的是，该恶意软件会后台查询短信发送箱，当SP扣费短信发送成功后，自动删除回执短信，避免被用户发现。其二，恶意样本利用“脏牛”漏洞进行提权，为潜在攻击留下后门或直接植入恶意推广子包，疯狂的弹出广告，引诱用户点击下载安装应用，获取推广费用。

　　(图：恶意程序后台提权，自动订阅SP扣费服务)

　　手机端的木马病毒和恶意程序呈现出隐蔽性的特征，让用户在毫无察觉的情况下中招。对此，腾讯手机管家安全专家杨启波建议，一方面，用户不要从非正规的应用市场和网页下载安装应用，通过应用宝等正规渠道下载手机软件，确保手机应用的绿色安全;

　　另一方面，用户需要养成借助安全软件防护手机的习惯，使用腾讯手机管家等安全软件，定期给手机进行体检和病毒查杀，并及时更新病毒库，实时检测手机设备的网络环境、系统漏洞、病毒木马、支付环境、账号保护、隐私保护等方面的安全。当用户不小心下载病毒软件时，会收到腾讯手机管家的风险项提醒，及时停止安装操作，避免手机被植入木马病毒，享受更安全的手机使用环境。