专栏丨大东话安全之“刷机有风险，入门需谨慎”

2018 年 8 月 25 日 中科院之声

编者按：网络空间安全近年来日渐成为公众关注的焦点，中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏，以《安天威胁通缉令2016扑克牌》为线索，一张扑克牌对应一个网络病毒，讲述54个不同的网络病毒和网络安全故事，以及如何进行针对性防御的建议。

一、谶曰

某刷机发烧友：我的 ROM 漂亮简洁，占内存少，深度定制，运行一顺到底。

大东：深度定制 Wland 版 ROM , 联网就炸，你，值得拥有。

二、病毒通缉令

小白：这只怪兽，我乍一看以为是龙，再仔细看，龙的四条腿变成了浑身的毒刺，嘴上长毒牙，头上还长喙。看这阵势，作起来一定很猛。

大东：是挺猛的，名字听起来也很威武——Wland。

小白：诶~我喜欢~~大东东给讲讲~

大东：该家族俗称“万蓝”，主要通过植入 ROM，通过刷机网站进行传播。主要功能是会联网下载 shell 脚本文件，把要执行的恶意行文写在脚本里。

小白：晕，ROM是啥？shell脚本是啥？

大东：别急，我一个个慢慢给你讲~

三、大话始末

大东：小白，听说过深度定制吗？

小白：深度定制又叫个性化定制，是消费者向企业提出单独特殊的产品定制，是企业弹性生产的体现，balabala……

大东：你还真省事，一上来就百度百科。

小白：有问题找度娘啊~

大东：来来来，我给你看个宝贝，看看这深度定制 ROM 的 U 盘~

小白：呃…ROM 是啥？

大东：没听过？手机 ROM 指的是存放手机固件代码的存储器，包括手机的操作系统、一些应用程序等。ROM 就像刷子，能把问题手机的记忆洗干净了，让它回到最初的状态。

小白：噢！就是刷机嘛，我刷过啊，难不成还能刷成不一样的机？

大东：那可不，总有用户喜欢搞事情嘛，所以现在很多公司针对 android 系统都支持深度定制，资深玩家甚至能自己设计手机 ROM 呢。

小白：下次我也试试！

大东：那你可得小心哦，别刷中毒了。

小白：啊？怎么肥四？

大东：2015年5月，有用户向360安全中心反馈，说自己的手机经常自动安装新的游戏应用。经360互联网安全中心分析排查发现，该用户的手机中了一个 ROM 级别的 Wland 木马。这个 Wland 有庞大的家族，版本众多。

小白：自动安装应用，好恶俗啊！

大东：对，Wland 能够接收云端的上级指令，悄咪咪地在你手机里安装推广应用，主要都是游戏类、浏览器类、应用助手类的软件，还能自我升级。

部分推广软件列表

大东：你的手机要真的中了 Wland，它会疯狂地下载和安装推广应用，删一个来一个，根本停不下来，到时你就等着内存爆炸吧。

小白：啊~怎么做到的？

大东：Wland启动时会在手机里安插些奇奇怪怪的眼线，名字都是“[”、“[[”、“test”和“cp“之类的符号连接，当手机系统中有其它程序执行它们时，Wland 就会被启动。

小白：启动之后呢?

大东：接着第二步，Wland 先在手机里搜寻一番，找到自己的注册文件，如果没找着，就立马新建一个。通过对比云端时间和手机时间，Wland 能判断自己是不是需要更新了。如果此时 Wland 检测到自己需要更新，就会把手机木马团伙（/system/wlan目录）里的小喽啰 Wland 文件派到手机的运行总部（/system/bin/目录）去捣乱。相反，如果木马团伙落后了，就让总部派人来支援。

小白：这是定时更新的节奏？简直就是手机里的定时炸弹啊！

大东：接下来 Wland 就要建立暗中沟通的小管子了。小时候玩过传话筒么？

小白：呃…我是玩pad长大的~

大东：好吧，暴露年纪了。这个管子的使用和传声筒一个原理，操控者在管子的一端下达指令，Wland 在另一端接到指令后，就依照指令在手机里胡作非为。