不是闹鬼，是病毒！全球首个Golem（傀儡）病毒感染数万手机

手机放在桌子上充电，突然亮屏，在没人触摸的情况下，一个手机游戏自己运行，滑动，执行许多命令。执行完之后，手机静悄悄关闭屏幕显示，跟什么都没发生一样。手机主人会发现，自己的手机电池经常没电，流量消耗也比平时多很多。这不是闹鬼，而是手机中毒了。

3月2日，猎豹移动安全实验室发现一枚新型安卓木马，名为Golem（傀儡），是Ghost Push （幽灵推）的变种病毒。该病毒在全球数十个国家被发现，目前的日活跃量为4万台手机，累计感染量估计在10万以上。感染量最多的三个国家是印度、印尼和菲律宾，这些国家被许多互联网公司看好，并投入许多费用推广自己的APP，这些推广费的一部分流入了病毒散播者的腰包。

以前有的广告联盟会用病毒感染的机器（肉鸡）去点击网络广告，获取广告费分成，但在安卓手机上截获能模拟用户行为的病毒，还是全球首次。这意味着，移动广告欺诈产业，已经发展到一个新的阶段，这将给安全公司和广告反欺诈技术提出更高要求。

Golem木马详情分析

Golem FILE MD5: bdaeef30e40b0ae2abcac5b87074682b

通过对Golem木马的详细分析，该木马在用户屏幕解锁，或者开机启动后，会从云端（http://down.onowcdn.com/myroapk/update_two.txt ）下载一个dex.

然后直接动态加载下载dex, 并调用其中名为 com.facebook.mini.service.RunService 这个类 .

在我们跟踪到的最新的dex（MD5：16E931588E63BE8E533D94D4BC2D1CD3 ）中，发现病毒会运行指定的App (当然会判断该App是否存在), 并且执行点击操作 .

如以上代码, 循环3次, 每次运行指定App. 并且点击指定坐标 . 如图中的逻辑, 大约是屏幕中间偏上的位置.

病毒用到了input命令, 正常的安卓设备基本上都会预制这个input工具。 该工具主要也是帮助开发者执行自动化测试。

正常情况是可以在root用户或者shell用户的权限 或者某个系统应用申请了android.permission.INJECT_EVENTS这个权限下执行该命令

然而该病毒并不满足后面两个条件. 我们发现Golem病毒利用了其他ROOT病毒留下的后门，从而拿到了ROOT权限 .

跑题了，说回病毒. 不仅仅是模拟点击而已. 点亮屏幕, 运行App , 点击按钮, 滑动屏幕, 最后触发指定功能一气呵成.

然后在加上一些随机, 好像就像是真的有人在用这个App. 囧。

总结

Golem可以远程控制设备、在用户不知情的情况下自动启动并运行应用，这些恶意行为会消耗大量的网络数据、电池电量和本地设备资源，结果是使得手机运行速度变慢。

Golem幕后的推动者

Golem是Ghost Push root木马家族中的一个新成员，但在黑市利润链条却扮演了一个非常重要的角色。毫无疑问的是，Golem木马的开发者一定是出于经济动机才开发这款木马。因为Golem可以模仿正常用户行为，伪造出逼真的活跃数据，从而赚取大量的广告推广费用。例如，如果说攻击者在一个设备上安装一个推广应用可以获得1元的话，那么如果该应用被打开的话，他们就能获得2元甚至更多的回报。

由于该木马可以带来巨大的经济利益，Golem的恶意行为暗示了安卓木马的新趋势。幸运的是，全球各安全公司都正在寻找应对策略，保护用户的安全。

* 作者：猎豹移动安全（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）