Antivirus公司AVG最近发现了一种名为“PowerOffHijack”的Android恶意软件,它以一种特殊的方式工作:劫持关机过程。PowerOffHijack让您的手机看起来像是关机,然后监视您的手机。换句话说,当您按下关机按钮时,您的设备实际上并没有关机。虽然您仍然会看到关机屏幕并且屏幕会变黑,但您的手机或平板电脑实际上处于开机状态。当您的Android设备处于此状态时,PowerOffHijack会拨打电话、拍照并“在用户不知情的情况下执行其他任务”。下面是这个Android恶意软件如何劫持它:首先,它获得root访问权限。然后,在获得root权限后,恶意软件会注入system_server进程并劫持mWindowManagerFuncs对象。然后,当你按下电源按钮时,会出现一个假的对话框,如果你选择关机,它会显示一个假的关机屏幕,屏幕是关闭的,但手机是开机的。最后,一些系统广播服务也被劫持,目的是让你的手机看起来像是真的关机了。下面是PowerOffHijack记录通话的代码:下面是PowerOffHijack发送私人消息的代码:虽然AVG已经发布了大量报告描述PowerOffHijack被劫持的关机过程,但关于软件本身的信息却很少。AVG没有说明他们是如何发现该恶意软件的,也没有说明它是如何进入Android设备的。此应用程序需要根访问权限,这意味着它不允许您在浏览网页时访问您的手机。当用户从第三方应用商店安装可疑应用时,大多数Android恶意软件都会进入Android设备。AVG发言人告诉记者,“我们发现这个恶意软件针对的是Android5.0以下的系统,它需要root权限。到目前为止我们已经发现大约10,000台设备被感染,大部分在中国,因为它首先出现在中国。我们看到它在传播在中国的应用市场。”
