日前，恶意删除UC浏览器等热门应用的“暗杀黑帮”木马被曝光。3月12日，360手机安全中心发布该木马的专杀工具及详细分析报告。360手机安全专家建议手机用户在出现手机应用莫名消失时，尽快下载360专杀工具查杀该高危木马。

图：“暗杀黑帮”手机木马专杀工具

360手机安全专家介绍，木马很可能通过手机预装系统或第三方ROM感染，木马在云端远程控制下可删除任何指定软件和安装任何指定软件，不排除后续演化成更加恶劣的扣费行径。粗略统计，仅一个月时间该木马已感染近百万安卓手机，甚至包括部分智能电视也已中招。

360手机安全中心统计显示，从2014年1月开始，“暗杀黑帮”木马至少感染超百万部手机及智能电视，其中，绝大部分机型为国产手机。感染数量最多的机型为“epade V05”，多达66306部。

分析发现，“暗杀黑帮”木马的主要恶意行为是伪装成系统文件，通过手机解锁，网络状态改变等系统广播触发运行，后台联网根据服务器指令强制下载、安装和卸载指定软件(目前已知如UC浏览器)，给用户带来上网流量资费损失和巨大的潜在安全风险。与此同时，在木马的扩散手法与传播渠道上，与此前360独家查获的“不死木马”有着惊人的相似之处。

顾名思义，“暗杀黑帮”木马并非单独“作案”，除负责删除正常软件安装指定软件的主木马程序外，还有多个早就被植入系统底层的“so”文件和负责存储程序删除或安装列表的数据库协助作恶。

在UC浏览器技术工程师及用户的协助下，360手机安全工程师分析了最新的数据库文件，发现除UC浏览器外，包括其他多款手机应用，也在被卸载名单之列。需要指出的是，该数据库可受服务器远程控制任意修改，随时可更换要“暗杀”的正常应用。

“暗杀黑帮”木马会窃取用户的隐私信息，木马安装后没有图标隐蔽性极强，之后会在后台监控新软件的动态，自动启动新安装软件，并实时更新数据库。与此同时，木马还会窃取手机型号、IMEI等隐私信息上传至指定的服务器。

随后，木马会更新数据库，删除、安装指定手机应用。通过解析服务器返回的数据信息，在手机中建立数据库文件，再通过读取该数据库指定的软件列表，在后台偷偷安装、卸载指定的应用。

目前，360手机安全中心发布“暗杀黑帮”木马专杀工具，专家建议Andoroid手机用户及时安装查杀该木马。同时建议用户购买手机时通过正规渠道，并谨慎为手机刷第三方ROM。最后，下载UC浏览器等手机应用时，请选择360手机助手、UC浏览器官方网站等安全的下载渠道。

附：“暗杀黑帮”木马详细技术报告：

http://blogs.360.cn/360mobile/2014/03/11/analysis_of_delbrwkiller/

专杀工具下载地址：

http://msoftdl.360.cn/mobilesafe/shouji360/360safesis/DelBrwKiller.apk

360手机卫士最新版下载地址：

http://shouji.360.cn