手机总是蹦出弹窗广告，始作俑者可能是它

【锦绣中华，盛世华诞】随着新中国成立70周年的钟声敲响，我们即将迈入一个充满激动与自豪的假期。在这个移动互联网与我们紧密相连的长假里，一种名为“伏地魔”的Android Native病毒悄然出现，给手机安全带来严峻挑战。

“伏地魔”病毒自2016年6月以来，一直在用户手机中活跃。它能伪装成手机系统文件，带来烦人的广告和恶意应用，严重影响手机正常使用，甚至导致莫名扣费。据统计，已有超过百万手机用户遭受其侵袭。

在节前，360安全大脑发布了一份关于“伏地魔”病毒的详细报告。报告显示，“伏地魔”病毒已演变出支持64位手机的全新变种，传播范围遍布全国，尤其广东省的感染量居首。随着64位操作系统成为Android手机的主流，越来越多的Native病毒开始兼容64位手机，“伏地魔”便是这一趋势的具体体现。

在这场与病毒的“掩体战”中，“伏地魔”病毒展现了其高超的躲避手段。它使用动态感染技术，增加恶意扣费模块，不断升级完善攻击功能。该病毒还能在开机运行一段时间后，才开始安装和拉起恶意应用，通过定时触发等方式躲避杀软查杀。

“伏地魔”病毒主要通过伪装成小游戏、应用以及第三方ROM等方式进行传播。用户一旦感染该病毒，就会像打开病毒的“阀门”，面临持续的广告推送、恶意扣费等问题，形成一个恶性循环。

经过360安全大脑的溯源分析，“伏地魔”病毒主要由任务调度模块、ROOT提权模块、注入模块、恶意扣费模块四大模块组成。病毒应用运行后，首先检测设备状态，防止在非用户运行环境触发恶意行为。恶意文件运行后，会向云端请求ROOT提权方案，获取更高权限以便进行恶意操作。

在这个特殊的假期里，我们需要提高警惕，加强手机安全防护。请广大手机用户谨慎下载和安装应用程序，避免点击不明链接和广告，及时安装和更新杀毒软件。让我们一起迎接新中国成立70周年的喜庆时刻，共同守护我们的手机安全！在深入探索手机系统的核心领域时，ROOT提权模块扮演着关键角色。该模块主要由yaiekvzmsqyulmrx.jar和开源的Superuser的SU模块.dmpsys等文件组成，它们协同工作以完成一系列重要任务。

这些文件的主要职责是获取手机的ROOT权限。一旦获得此权限，它们便能够向云端发送请求，下载任务并获取应用推广配置文件/data/.notify/cfg。此后，这些文件将执行恶意推广任务，这些推广的应用分为两类：那些被安装到系统核心目录（如/system/app、/system/priv-app、/system/framework等）的ROM内应用，以及那些安装到用户数据目录(/data/data)的普通应用。

在提权过程中，ROOT提权模块主要利用了CVE-2016-5195（脏牛漏洞）和一些针对特定品牌手机的提权漏洞。这些漏洞被病毒作者利用，以实现手机系统的全面控制。

随后，一旦获取ROOT权限，病毒应用将加载注入模块sysutils.so。这个模块使用动态感染技术，随系统库文件一同加载，以隐藏其真实意图。“伏地魔”病毒还利用ELF文件内部释放逻辑，以增强其隐蔽性。注入模块的主要任务包括释放应用保活模块、修改文件权限和注入恶意扣费模块。

其中，应用保活模块会从/data/.notify/cfg配置文件中读取信息，然后使用cat命令安装恶意应用到手机ROM，并启动这些应用。注入的恶意扣费模块会释放恶意文件runtime.jar，并加载其中的o.r.g.Apt.run()方法，以实现后台监控、私自订购业务并扣费等功能。

面对这样的恶意行为，我们可以从几个方面进行防范。寻找像“360手机卫士”这样的安全助手，它能全面查杀上述病毒。使用官方原版的ROM，避免第三方ROM刷机包带来的风险。通过正规的手机应用市场下载安装APP，避免从未知网站下载应用。及时更新系统和补丁，降低漏洞利用风险。

关于C&C服务器信息和相关APK列表，这些都是病毒传播和运作的关键部分，对于安全和防范工作具有重要意义。

在这个数字化时代，手机已变成我们生活中的一部分，承载着大量个人信息和隐私。对于手机安全我们不能掉以轻心。只有充分了解并防范这些安全风险，我们才能在这个移动互联网世界中安全前行。