近日,瑞星“云安全”系統攔截到一個名為“超級短信大盜”的手機病毒。瑞星安全專家介紹,該病毒基于Android系統,偽裝成熟人發送的EXCEL資料文檔,引誘網民下載點擊。病毒運行后會收集用戶手機中的聯系人列表及短信信息,并將這些內容上傳至黑客指定地址。手機一旦中毒,將面臨巨額資費消耗、隱私信息泄露、各類網絡賬號及網銀賬號被盜等風險。目前,永久免費的瑞星手機安全助手(下載地址http://pc.rising.com.cn/Android/)已可查殺該病毒,廣大網民應盡快安裝,以免遭受不必要的損失。
圖1:“超級短信大盜”偽裝成EXCEL資料
圖2:瑞星手機安全助手攔截“超級短信大盜”
“超級短信大盜”偽裝成熟人發來的“資料”迷惑網民,一旦被下載運行,該病毒就會收集本機號碼、聯系人列表及短信信息,并上傳至黑客指定郵箱。此外,該病毒還會更改系統設置,并隱藏自身圖標,普通網民無法使用正常方式將其卸載。另外,在解析病毒代碼時瑞星工程師發現了黑客存放非法所得信息的地址,并于第一時間將該地址內的所有信息予以清除。
圖3:病毒向黑客指定地址上傳的用戶信息(已作清空處理)
瑞星安全專家指出,該病毒圖標顯示為EXCEL文檔,具有較高的迷惑性。同時,病毒還會利用網民的手機向所有聯系人群發帶有病毒下載鏈接的惡意短信,由于是“熟人”發來的“資料”,多數人都會掉以輕心,因此該病毒具備極高的自我傳播能力,網民應特別提高警惕。
針對上述情況,瑞星安全專家建議廣大網民近期應做好以下防護工作:
1. 不輕信、不點擊任何人使用短信發來的鏈接。如必須使用手機查看鏈接,應致電對方核實鏈接的內容后再進行操作。
2. 使用大型正規APP商店作為下載渠道,不從論壇或不正規的網站下載APP。
3. 安裝專業的手機安全軟件,沒有手機安全軟件的用戶可以使用永久免費的瑞星手機安全助手(下載地址http://pc.rising.com.cn/Android/),養成良好的使用習慣,定期為手機掃描體檢,遠離病毒威脅。
一、病毒樣本基本信息:
樣本名稱
病毒名稱 超級短信大盜(a.privacy.emial.a)
包 名 cn.wWRWdnjj
SHA1 719e10f9459e882425786a0a380d3ddfad0cf3fc
MD5值 93f5e82f5d9a71b463703f45bad1f67d
Crc32 c49ad331
SHA-256 4a42cffb0df7e2ed1ddaef39298e52fa2a5d55b32c8b184b16d6d4c554d56147
文件大小 241 KB (246,830 字節)
簽名證書 [email protected], CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US
二、樣本特征及傳播方式:
該病毒偽裝成正常軟件誘導用戶下載安裝。安裝運行后病毒會在后臺私自發送指定內容的短信到指定號碼、私自獲取用戶的短信息和聯系人信息并回傳至病毒作者的指定郵箱、運行后自動隱藏桌面啟動圖標、同時該病毒還會誘導用戶激活系統設備管理器等,給用戶造成嚴重的隱私泄露及資費消耗等的安全問題。
三、應用所需的敏感權限:
啟動方式為:開機自啟動
四、四大組件運用:
Activities:
cn.wWRWdnjjent.MainActivity
cn.wWRWdnjjent.FX
cn.wWRWdnjjent.Uninstaller
cn.wWRWdnjjent.UninActivity
intent-filter action: android.intent.action.DELETE
intent-filter action: android.intent.action.VIEW
intent-filter category: android.intent.category.DEFAULT
cn.wWRWdnjjent.WebInterfaceActivity
cn.wWRWdnjjent.UninstallerActivity
intent-filter action: android.intent.action.DELETE
intent-filter action: android.intent.action.VIEW
intent-filter category: android.intent.category.DEFAULT
cn.wWRWdnjjent.ClientActivity
intent-filter category: android.intent.category.LAUNCHER
intent-filter action: android.intent.action.MAIN
com.shit.ComposeSmsActivity
intent-filter action: android.intent.action.SEND
intent-filter action: android.intent.action.SENDTO
intent-filter category: android.intent.category.DEFAULT
intent-filter category: android.intent.category.BROWSABLE
Service:
cn.wWRWdnjjent.HeadlessSmsSendService
cn.wWRWdnjjent.MyService
Broadcast Receivers:
cn.wWRWdnjjent.Dx
intent-filter action: android.app.action.DEVICE_ADMIN_ENABLED
cn.wWRWdnjjent.AlarmReceiver
intent-filter action: android.intent.action.BOOT_COMPLETED
cn.wWRWdnjjent.XReceiver
intent-filter action: android.provider.Telephony.SMS_RECEIVED
intent-filter category: android.intent.category.DEFAULT
intent-filter action: android.provider.Telephony.SMS_DELIVER
cn.wWRWdnjjent.BootReceiver
intent-filter action: android.intent.action.BOOT_COMPLETED
cn.wWRWdnjjent.MmsReceiver
intent-filter action: android.provider.Telephony.WAP_PUSH_DELIVER
靜態分析:
一、代碼級行為分析:
程序運行時分析:
該病毒通過偽裝成正常軟件“資料”的形式誘導用戶安裝
安裝運行后,病毒會自動獲取用戶的手機號碼、短信收件箱等用戶的隱私信息
同時私自發送安裝成功的指令短信“6&865411020043025”到指定號碼“183****2483”,并彈出誘導用戶激活系統設備管理器的Activity界面,以實現用戶正常將其卸載的目的。
[關鍵代碼]
待用戶點擊取消或激活后,程序彈出錯誤提示
[關鍵代碼]
點擊確定后發現,桌面啟動圖標已經被自動隱藏,且能通過系統應用程序列表找到
并且替換了系統的卸載程序組件,當用戶卸載時會自動彈出病毒作者設計的卸載界面,其實根本就沒有卸載其程序
[關鍵代碼]
在解決前面的那些事情的同時,程序已經開始向用戶的手機中保存的聯系人群發短信了,短信的內容如下:
并且,病毒作者有多個郵箱和多個下載地址,其不同的是,每個下載地址的后綴“*.apk”都不一樣
例如:
http://laoa16888.com/5.apk
http://laoa16888.com/zze.apk
http://laoa16888.com/3.apk
........等等等
最后,病毒作者將獲取到的用戶短信息、用戶的聯系人等的各種信息,通過Email的方式發送到病毒作者的指定的郵箱中,且全部為163vip郵箱
目前已截獲的四個病毒作者的郵箱分別為
“r******[email protected]”、“r******[email protected]”、“r******[email protected]”、“r******[email protected]”
瑞星手機安全助手查殺截圖:
目前,瑞星手機安全助手已可以全面查殺此病毒
總結:
至此,這個手機病毒就基本分析完了,其主要特點就是通過短信的形式向用戶手機聯系人群發帶惡意鏈接的短信,并讓中招的手機用戶點擊鏈接下載安裝病毒程序,以實現惡意短信擴散傳播的目的,同時還會吸取大量用戶的聯系人信息并發送到病毒作者事先注冊好的163vip郵箱中,給用戶造成直接且嚴重的隱私泄露等的安全問題。
建議:
現在,Android智能系統的碎片化越來越嚴重混亂,安全管理方面也沒有統一的強勁的管理制度,使得病毒越來越多。就目前來講,在Android應用電子市場等領域里幾乎就沒有讓用戶安裝放心、使用放心的應用程序。病毒作者在設計及開發病毒的時候利用的技術手段也越來越精妙,使得用戶防不勝防。
建議用戶在安裝和使用軟件時如發現手機中不明原因的增加新應用,一定要警惕是否存在該類型惡意軟件。并且用戶在使用Android智能設備時,一定要在設備中安裝一些官方認證版本的安全監測工具,實時防護用戶的智能設備不受到惡意程序及病毒的侵害。另外,如需安裝一些實用的且下載量較高的app,記住一定要到官方認證的電子市場或大型的且有官方認證Logo的網站上進行下載安裝,切勿隨便在不知名的網站或電子市場上下載。
病毒作者最喜歡干的事兒就是將自己寫的病毒程序捆綁到較熱門的app應用程序中,并在后臺進行大范圍的惡意推廣傳播,使得用戶的隱私及經濟受到嚴重的威脅及損害。
