據(jù)媒體報道，通過手機刷機來推廣軟件已形成完整產(chǎn)業(yè)鏈，在手機賣場，許多商家刷機甚至是免費的。免費刷機在學雷鋒嗎?不，為刷機付出高昂代價的，仍是消費者。近日，金山手機安全中心捕獲一個設計精巧隱蔽性極好的Android手機后門病毒GacBlocker，中毒用戶被扣費卻渾然不覺。

　　金山手機安全專家指出，這個手機后門程序會偽裝成輸入法組件。病毒寄生在一些非官方的刷機包中，如果不幸使用這種刷機包，你的手機就會被偷偷扣費。

　　圖1 GacBlocker手機病毒偽裝成輸入法組件

　　金山手機安全中心對這個GacBlocker病毒進行了詳細分析，發(fā)現(xiàn)這個后門堪稱目前隱蔽性最好的手機后門程序，中毒后極難被手機用戶發(fā)現(xiàn)。這個手機病毒有以下功能：

　　1.上傳手機信息，包括手機IMEI、IMSI、手機型號、系統(tǒng)版本、病毒包名、版本信息等。這些信息都是手機隱私信息的重要內(nèi)容，對這些信息進行數(shù)據(jù)分析可統(tǒng)計病毒激活量，目標用戶的基本情況，以及其他商業(yè)價值。

　　2.通過網(wǎng)絡或短信遠程控制中毒手機，遠程發(fā)出任意指令，手機完成相應任務。

　　3.檢測到WiFi網(wǎng)絡和手機鎖屏時，接收云端指令，將云端指令下載到任務列表。分析發(fā)現(xiàn)任務列表是撥打電話或發(fā)送短信，發(fā)送短信的號碼、內(nèi)容及要撥打的電話號碼由云端指令控制。

　　4.攔截10086短信，這是手機扣費病毒的常見現(xiàn)象，10086的短信被攔截刪除，手機的消費記錄就不會被用戶發(fā)現(xiàn)。

　　5.查詢手機余額，通過發(fā)送查詢指令，病毒可獲悉每部中毒手機的余額。分析師推測，病毒這樣做的目的是由云端發(fā)送不同內(nèi)容的扣費短信。在獲取最大利益的同時，避免被用戶發(fā)現(xiàn)。

　　6.病毒的高超隱藏伎倆：以上動作僅在鎖屏時進行，任務完成，立刻退出。這就造成一般的檢查方法，無法感知到手機病毒的存在。

　　金山手機安全專家指出，目前監(jiān)測的數(shù)據(jù)看，每天大約有數(shù)千部Android智能手機被感染。因GacBlocker手機病毒主要通過刷機包傳播，推測主要受害者是購買水貨手機的用戶。

　　在沒有使用root工具獲得系統(tǒng)權限之前，刷機包內(nèi)置的病毒不能用簡單方法清除，中毒用戶會發(fā)現(xiàn)金山手機衛(wèi)士報毒卻清除失敗。此時，有兩個選擇來清除GacBlocker手機病毒：

　　1.從手機廠商官方網(wǎng)站下載對應手機型號的刷機包，重新刷機。

　　2.電腦安裝手機root工具(相當于越獄，以獲得完全的系統(tǒng)權限)，然后再用金山手機衛(wèi)士殺毒。

　　防御方法：

　　1.盡量從Android官方市場安裝軟件，如果要使用第三方Android市場發(fā)行的軟件，應注意查看其他用戶評價。或者，安裝Android軟件時，注意查看權限要求。不可盲目點擊下一步。

　　2.盡量不使用非官方刷機包，不少刷機包是被人為改造后植入后門。

　　3.新購買的水貨手機，最好重新用官方刷機包重刷一次，消除隱患。

　　關于金山手機衛(wèi)士

　　金山手機衛(wèi)士是一款免費手機安全軟件，目前覆蓋symbian和android兩大主流移動平臺。以手機安全為核心，提供有流量監(jiān)控、惡意扣費攔截、防垃圾短信、防騷擾電話、風險軟件掃描及私密空間等實用安全功能。

　　網(wǎng)址：http://m.ijinshan.com