今年五月中旬，360手機安全中心收到用戶反饋稱自己的手機經常自動安裝新的游戲應用，經360手機安全中心分析排查發現，該用戶中招的是一個名為“萬藍”的ROM級別手機木馬，該木馬影響用戶達10萬以上。該木馬主要通過聯網下載shell腳本文件進行靜默安裝推廣應用，并可以實現自身升級。360手機安全中心發布技術博客，對“萬藍”木馬進行詳細分析。

　　360技術博客介紹，“萬藍”木馬主要通過植入ROM，通過刷機網站進行傳播。到目前為止，惡意樣本主要是植入為夏新、聯想、小采等手機開發的三方ROM進行傳播，用戶手機刷入被感染的ROM后，木馬便瘋狂地開始推廣傳播各種應用，總數高達近百種。

　　“萬藍”木馬會聯網下載shell腳本文件，把要執行的惡意行為寫在腳本里，木馬的wlan進程大部分功能在于執行這些腳本，這樣就大大方便了病毒作者進行更新，也方便作者控制中招手機去執行更多惡意行為，潛在風險巨大。

　　技術博客分析指出，“萬藍”木馬啟動時會嘗試給自身在系統目錄中建立一些符號鏈接，當系統中有其它程序執行這些命令時，木馬就會被啟動。之后，通過初始化任務池、建立自身運行時所需的目錄和文件進行手機木馬初始化，為之后執行惡意行為做準備。值得注意的是，該木馬啟動后會初始化一個結構體，里面包含了50個可執行命令任務池的子結構。

　　360手機安全專家分析指出，“萬藍”木馬是通過Linux管道來進行通信的，管道是Linux的一種通信方式，相當于一根管子，一個人在管子左邊，一個人在管子右邊，左邊的人不停的往管子里放東西(寫數據)，右邊的人就不停的從管子拿東西(讀數據)，右邊的人拿到數據后就能夠處理這些數據了，“萬藍”木馬作者將要執行的命令、腳本寫到管道里，之后wlan進程就可以執行這些命令。

　　木馬從服務器上獲取要運行的命令(shell腳本)，再調用諸如 input、am、pm等系統命令，木馬就可以實現啟動應用、靜默安裝應用、卸載應用、結束應用、刪除應用數據、結束后臺進程、發布intent廣播等40多種惡意行為。

　　此外，該木馬還會通過兩種策略實現自更新，一種是檢測自身主體wland文件的版本來判斷是否需要更新，一種是根據距離上次檢測更新的時間來判斷是否需要更新。該木馬自升級以后還可以實現私發短信、屏蔽短信、撥打電話等惡意行為。

　　通過遺留在木馬早期版本中的信息，360手機安全中心發現了木馬作者以及公司的相關信息，通過木馬鏈接的服務器地址判斷，該服務器屬于上海某科技公司，而木馬作者也可能就職于該公司。