當(dāng)前位置:首頁(yè) >  科技 >  IT業(yè)界 >  正文

“超級(jí)短信大盜”竊取敏感信息瑞星手機(jī)助手率先攔截

 2015-06-16 11:41  來(lái)源: 互聯(lián)網(wǎng)   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

近日,瑞星“云安全”系統(tǒng)攔截到一個(gè)名為“超級(jí)短信大盜”的手機(jī)病毒。瑞星安全專家介紹,該病毒基于Android系統(tǒng),偽裝成熟人發(fā)送的EXCEL資料文檔,引誘網(wǎng)民下載點(diǎn)擊。病毒運(yùn)行后會(huì)收集用戶手機(jī)中的聯(lián)系人列表及短信信息,并將這些內(nèi)容上傳至黑客指定地址。手機(jī)一旦中毒,將面臨巨額資費(fèi)消耗、隱私信息泄露、各類網(wǎng)絡(luò)賬號(hào)及網(wǎng)銀賬號(hào)被盜等風(fēng)險(xiǎn)。目前,永久免費(fèi)的瑞星手機(jī)安全助手(下載地址)已可查殺該病毒,廣大網(wǎng)民應(yīng)盡快安裝,以免遭受不必要的損失。

圖1:“超級(jí)短信大盜”偽裝成EXCEL資料

圖2:瑞星手機(jī)安全助手?jǐn)r截“超級(jí)短信大盜”

“超級(jí)短信大盜”偽裝成熟人發(fā)來(lái)的“資料”迷惑網(wǎng)民,一旦被下載運(yùn)行,該病毒就會(huì)收集本機(jī)號(hào)碼、聯(lián)系人列表及短信信息,并上傳至黑客指定郵箱。此外,該病毒還會(huì)更改系統(tǒng)設(shè)置,并隱藏自身圖標(biāo),普通網(wǎng)民無(wú)法使用正常方式將其卸載。另外,在解析病毒代碼時(shí)瑞星工程師發(fā)現(xiàn)了黑客存放非法所得信息的地址,并于第一時(shí)間將該地址內(nèi)的所有信息予以清除。

圖3:病毒向黑客指定地址上傳的用戶信息(已作清空處理)

瑞星安全專家指出,該病毒圖標(biāo)顯示為EXCEL文檔,具有較高的迷惑性。同時(shí),病毒還會(huì)利用網(wǎng)民的手機(jī)向所有聯(lián)系人群發(fā)帶有病毒下載鏈接的惡意短信,由于是“熟人”發(fā)來(lái)的“資料”,多數(shù)人都會(huì)掉以輕心,因此該病毒具備極高的自我傳播能力,網(wǎng)民應(yīng)特別提高警惕。

針對(duì)上述情況,瑞星安全專家建議廣大網(wǎng)民近期應(yīng)做好以下防護(hù)工作:

1. 不輕信、不點(diǎn)擊任何人使用短信發(fā)來(lái)的鏈接。如必須使用手機(jī)查看鏈接,應(yīng)致電對(duì)方核實(shí)鏈接的內(nèi)容后再進(jìn)行操作。

2. 使用大型正規(guī)APP商店作為下載渠道,不從論壇或不正規(guī)的網(wǎng)站下載APP。

3. 安裝專業(yè)的手機(jī)安全軟件,沒有手機(jī)安全軟件的用戶可以使用永久免費(fèi)的瑞星手機(jī)安全助手(下載地址),養(yǎng)成良好的使用習(xí)慣,定期為手機(jī)掃描體檢,遠(yuǎn)離病毒威脅。

一、病毒樣本基本信息:

樣本名稱

病毒名稱 超級(jí)短信大盜(a.privacy.emial.a)

包 名 cn.wWRWdnjj

SHA1 719e10f9459e882425786a0a380d3ddfad0cf3fc

MD5值 93f5e82f5d9a71b463703f45bad1f67d

Crc32 c49ad331

SHA-256 4a42cffb0df7e2ed1ddaef39298e52fa2a5d55b32c8b184b16d6d4c554d56147

文件大小 241 KB (246,830 字節(jié))

簽名證書 EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US

二、樣本特征及傳播方式:

該病毒偽裝成正常軟件誘導(dǎo)用戶下載安裝。安裝運(yùn)行后病毒會(huì)在后臺(tái)私自發(fā)送指定內(nèi)容的短信到指定號(hào)碼、私自獲取用戶的短信息和聯(lián)系人信息并回傳至病毒作者的指定郵箱、運(yùn)行后自動(dòng)隱藏桌面啟動(dòng)圖標(biāo)、同時(shí)該病毒還會(huì)誘導(dǎo)用戶激活系統(tǒng)設(shè)備管理器等,給用戶造成嚴(yán)重的隱私泄露及資費(fèi)消耗等的安全問題。

三、應(yīng)用所需的敏感權(quán)限:

啟動(dòng)方式為:開機(jī)自啟動(dòng)

四、四大組件運(yùn)用:

Activities:

cn.wWRWdnjjent.MainActivity

cn.wWRWdnjjent.FX

cn.wWRWdnjjent.Uninstaller

cn.wWRWdnjjent.UninActivity

intent-filter action: android.intent.action.DELETE

intent-filter action: android.intent.action.VIEW

intent-filter category: android.intent.category.DEFAULT

cn.wWRWdnjjent.WebInterfaceActivity

cn.wWRWdnjjent.UninstallerActivity

intent-filter action: android.intent.action.DELETE

intent-filter action: android.intent.action.VIEW

intent-filter category: android.intent.category.DEFAULT

cn.wWRWdnjjent.ClientActivity

intent-filter category: android.intent.category.LAUNCHER

intent-filter action: android.intent.action.MAIN

com.shit.ComposeSmsActivity

intent-filter action: android.intent.action.SEND

intent-filter action: android.intent.action.SENDTO

intent-filter category: android.intent.category.DEFAULT

intent-filter category: android.intent.category.BROWSABLE

Service:

cn.wWRWdnjjent.HeadlessSmsSendService

cn.wWRWdnjjent.MyService

Broadcast Receivers:

cn.wWRWdnjjent.Dx

intent-filter action: android.app.action.DEVICE_ADMIN_ENABLED

cn.wWRWdnjjent.AlarmReceiver

intent-filter action: android.intent.action.BOOT_COMPLETED

cn.wWRWdnjjent.XReceiver

intent-filter action: android.provider.Telephony.SMS_RECEIVED

intent-filter category: android.intent.category.DEFAULT

intent-filter action: android.provider.Telephony.SMS_DELIVER

cn.wWRWdnjjent.BootReceiver

intent-filter action: android.intent.action.BOOT_COMPLETED

cn.wWRWdnjjent.MmsReceiver

intent-filter action: android.provider.Telephony.WAP_PUSH_DELIVER

靜態(tài)分析:

一、代碼級(jí)行為分析:

程序運(yùn)行時(shí)分析:

該病毒通過(guò)偽裝成正常軟件“資料”的形式誘導(dǎo)用戶安裝

安裝運(yùn)行后,病毒會(huì)自動(dòng)獲取用戶的手機(jī)號(hào)碼、短信收件箱等用戶的隱私信息

同時(shí)私自發(fā)送安裝成功的指令短信“6&865411020043025”到指定號(hào)碼“183****2483”,并彈出誘導(dǎo)用戶激活系統(tǒng)設(shè)備管理器的Activity界面,以實(shí)現(xiàn)用戶正常將其卸載的目的。

[關(guān)鍵代碼]

待用戶點(diǎn)擊取消或激活后,程序彈出錯(cuò)誤提示

[關(guān)鍵代碼]

點(diǎn)擊確定后發(fā)現(xiàn),桌面啟動(dòng)圖標(biāo)已經(jīng)被自動(dòng)隱藏,且能通過(guò)系統(tǒng)應(yīng)用程序列表找到

并且替換了系統(tǒng)的卸載程序組件,當(dāng)用戶卸載時(shí)會(huì)自動(dòng)彈出病毒作者設(shè)計(jì)的卸載界面,其實(shí)根本就沒有卸載其程序

[關(guān)鍵代碼]

在解決前面的那些事情的同時(shí),程序已經(jīng)開始向用戶的手機(jī)中保存的聯(lián)系人群發(fā)短信了,短信的內(nèi)容如下:

并且,病毒作者有多個(gè)郵箱和多個(gè)下載地址,其不同的是,每個(gè)下載地址的后綴“*.apk”都不一樣

例如:

........等等等

最后,病毒作者將獲取到的用戶短信息、用戶的聯(lián)系人等的各種信息,通過(guò)Email的方式發(fā)送到病毒作者的指定的郵箱中,且全部為163vip郵箱

目前已截獲的四個(gè)病毒作者的郵箱分別為

“r******5@vip.163.com”、“r******6@vip.163.com”、“r******3@vip.163.com”、“r******8@vip.163.com”

瑞星手機(jī)安全助手查殺截圖:

目前,瑞星手機(jī)安全助手已可以全面查殺此病毒

總結(jié):

至此,這個(gè)手機(jī)病毒就基本分析完了,其主要特點(diǎn)就是通過(guò)短信的形式向用戶手機(jī)聯(lián)系人群發(fā)帶惡意鏈接的短信,并讓中招的手機(jī)用戶點(diǎn)擊鏈接下載安裝病毒程序,以實(shí)現(xiàn)惡意短信擴(kuò)散傳播的目的,同時(shí)還會(huì)吸取大量用戶的聯(lián)系人信息并發(fā)送到病毒作者事先注冊(cè)好的163vip郵箱中,給用戶造成直接且嚴(yán)重的隱私泄露等的安全問題。

建議:

現(xiàn)在,Android智能系統(tǒng)的碎片化越來(lái)越嚴(yán)重混亂,安全管理方面也沒有統(tǒng)一的強(qiáng)勁的管理制度,使得病毒越來(lái)越多。就目前來(lái)講,在Android應(yīng)用電子市場(chǎng)等領(lǐng)域里幾乎就沒有讓用戶安裝放心、使用放心的應(yīng)用程序。病毒作者在設(shè)計(jì)及開發(fā)病毒的時(shí)候利用的技術(shù)手段也越來(lái)越精妙,使得用戶防不勝防。

建議用戶在安裝和使用軟件時(shí)如發(fā)現(xiàn)手機(jī)中不明原因的增加新應(yīng)用,一定要警惕是否存在該類型惡意軟件。并且用戶在使用Android智能設(shè)備時(shí),一定要在設(shè)備中安裝一些官方認(rèn)證版本的安全監(jiān)測(cè)工具,實(shí)時(shí)防護(hù)用戶的智能設(shè)備不受到惡意程序及病毒的侵害。另外,如需安裝一些實(shí)用的且下載量較高的app,記住一定要到官方認(rèn)證的電子市場(chǎng)或大型的且有官方認(rèn)證Logo的網(wǎng)站上進(jìn)行下載安裝,切勿隨便在不知名的網(wǎng)站或電子市場(chǎng)上下載。

病毒作者最喜歡干的事兒就是將自己寫的病毒程序捆綁到較熱門的app應(yīng)用程序中,并在后臺(tái)進(jìn)行大范圍的惡意推廣傳播,使得用戶的隱私及經(jīng)濟(jì)受到嚴(yán)重的威脅及損害。

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)標(biāo)簽
瑞星

相關(guān)文章

  • 軟文推廣案例分享 瑞星推廣

    軟文就是企業(yè)通過(guò)策劃,在報(bào)紙、雜志或者網(wǎng)絡(luò)媒體上的的可以提升企業(yè)品牌形式和知名度、促進(jìn)企業(yè)營(yíng)銷的一系列宣傳性、闡述性文章,包括特定的新聞報(bào)道、深度文章、付費(fèi)短文廣告、案例分析等。

    標(biāo)簽:
    軟文推廣案例
    瑞星
  • 瑞星2018年中國(guó)網(wǎng)絡(luò)安全報(bào)告:挖礦與勒索病毒成一體化趨勢(shì)

    近日,瑞星發(fā)布了《2018年中國(guó)網(wǎng)絡(luò)安全報(bào)告》,報(bào)告顯示2018年病毒活動(dòng)十分活躍,數(shù)據(jù)泄露和網(wǎng)絡(luò)攻擊事件頻發(fā),包括Facebook、GitHub、A站、華住酒店、臺(tái)積電等全球大中小企業(yè)均遭受不同程度的影響,網(wǎng)絡(luò)安全依然不容小覷。

  • 瑞星攜手江西民政 軟硬兼施打造整體安保方案

    近日,瑞星公司正式對(duì)外公布其與江西省民政廳的合作伙伴關(guān)系。借助自身的品牌實(shí)力和技術(shù)積淀,瑞星公司為江西民政“數(shù)字民政”移動(dòng)應(yīng)用平臺(tái)打造了一整套信息安全解決方案,該方案集結(jié)了瑞星高端系列防毒墻、網(wǎng)絡(luò)安全預(yù)警系統(tǒng)和瑞星運(yùn)維管理審計(jì)系統(tǒng)三項(xiàng)硬件產(chǎn)品以及國(guó)內(nèi)首家虛擬化安全和終端安全管理等軟件產(chǎn)品,獲得用戶的

    標(biāo)簽:
    瑞星
  • 自主可控+立體防護(hù) 瑞星終端安全護(hù)衛(wèi)國(guó)家能源局

    近日,瑞星公司宣布,已與國(guó)家能源局達(dá)成協(xié)議,向其提供瑞星企業(yè)終端安全管理系統(tǒng)軟件(以下簡(jiǎn)稱瑞星ESM),并提供配套的售前、售后服務(wù)及技術(shù)支持。瑞星公司介紹,瑞星ESM擁有完整的自主知識(shí)產(chǎn)權(quán),是國(guó)內(nèi)首款模塊化企業(yè)信息安全產(chǎn)品,能夠針對(duì)用戶的具體需求進(jìn)行“私人定制”,具有功能全面、資源占用率低、部署靈活

    標(biāo)簽:
    瑞星
  • 自主可控護(hù)航能源企業(yè) 瑞星斬獲寧夏電力萬(wàn)點(diǎn)大單

    近日,瑞星公司宣布,已斬獲國(guó)家電網(wǎng)寧夏電力公司(以下簡(jiǎn)稱寧夏電力)萬(wàn)點(diǎn)大單。本次瑞星將向?qū)幭碾娏μ峁┤f(wàn)余點(diǎn)瑞星殺毒軟件網(wǎng)絡(luò)版,并提供相應(yīng)的售前、售后服務(wù)。瑞星安全專家介紹,瑞星殺毒軟件網(wǎng)絡(luò)版是瑞星公司的王牌產(chǎn)品,具有病毒查殺率高、穩(wěn)定性強(qiáng)、管理功能強(qiáng)大等特點(diǎn),獲得了寧夏電力的高度評(píng)價(jià)。據(jù)了解,寧夏電

    標(biāo)簽:
    瑞星

熱門排行

信息推薦