域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
近日,瑞星“云安全”系統(tǒng)攔截到一個(gè)名為“超級(jí)短信大盜”的手機(jī)病毒。瑞星安全專家介紹,該病毒基于Android系統(tǒng),偽裝成熟人發(fā)送的EXCEL資料文檔,引誘網(wǎng)民下載點(diǎn)擊。病毒運(yùn)行后會(huì)收集用戶手機(jī)中的聯(lián)系人列表及短信信息,并將這些內(nèi)容上傳至黑客指定地址。手機(jī)一旦中毒,將面臨巨額資費(fèi)消耗、隱私信息泄露、各類網(wǎng)絡(luò)賬號(hào)及網(wǎng)銀賬號(hào)被盜等風(fēng)險(xiǎn)。目前,永久免費(fèi)的瑞星手機(jī)安全助手(下載地址)已可查殺該病毒,廣大網(wǎng)民應(yīng)盡快安裝,以免遭受不必要的損失。
圖1:“超級(jí)短信大盜”偽裝成EXCEL資料
圖2:瑞星手機(jī)安全助手?jǐn)r截“超級(jí)短信大盜”
“超級(jí)短信大盜”偽裝成熟人發(fā)來(lái)的“資料”迷惑網(wǎng)民,一旦被下載運(yùn)行,該病毒就會(huì)收集本機(jī)號(hào)碼、聯(lián)系人列表及短信信息,并上傳至黑客指定郵箱。此外,該病毒還會(huì)更改系統(tǒng)設(shè)置,并隱藏自身圖標(biāo),普通網(wǎng)民無(wú)法使用正常方式將其卸載。另外,在解析病毒代碼時(shí)瑞星工程師發(fā)現(xiàn)了黑客存放非法所得信息的地址,并于第一時(shí)間將該地址內(nèi)的所有信息予以清除。
圖3:病毒向黑客指定地址上傳的用戶信息(已作清空處理)
瑞星安全專家指出,該病毒圖標(biāo)顯示為EXCEL文檔,具有較高的迷惑性。同時(shí),病毒還會(huì)利用網(wǎng)民的手機(jī)向所有聯(lián)系人群發(fā)帶有病毒下載鏈接的惡意短信,由于是“熟人”發(fā)來(lái)的“資料”,多數(shù)人都會(huì)掉以輕心,因此該病毒具備極高的自我傳播能力,網(wǎng)民應(yīng)特別提高警惕。
針對(duì)上述情況,瑞星安全專家建議廣大網(wǎng)民近期應(yīng)做好以下防護(hù)工作:
1. 不輕信、不點(diǎn)擊任何人使用短信發(fā)來(lái)的鏈接。如必須使用手機(jī)查看鏈接,應(yīng)致電對(duì)方核實(shí)鏈接的內(nèi)容后再進(jìn)行操作。
2. 使用大型正規(guī)APP商店作為下載渠道,不從論壇或不正規(guī)的網(wǎng)站下載APP。
3. 安裝專業(yè)的手機(jī)安全軟件,沒有手機(jī)安全軟件的用戶可以使用永久免費(fèi)的瑞星手機(jī)安全助手(下載地址),養(yǎng)成良好的使用習(xí)慣,定期為手機(jī)掃描體檢,遠(yuǎn)離病毒威脅。
一、病毒樣本基本信息:
樣本名稱
病毒名稱 超級(jí)短信大盜(a.privacy.emial.a)
包 名 cn.wWRWdnjj
SHA1 719e10f9459e882425786a0a380d3ddfad0cf3fc
MD5值 93f5e82f5d9a71b463703f45bad1f67d
Crc32 c49ad331
SHA-256 4a42cffb0df7e2ed1ddaef39298e52fa2a5d55b32c8b184b16d6d4c554d56147
文件大小 241 KB (246,830 字節(jié))
簽名證書 EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US
二、樣本特征及傳播方式:
該病毒偽裝成正常軟件誘導(dǎo)用戶下載安裝。安裝運(yùn)行后病毒會(huì)在后臺(tái)私自發(fā)送指定內(nèi)容的短信到指定號(hào)碼、私自獲取用戶的短信息和聯(lián)系人信息并回傳至病毒作者的指定郵箱、運(yùn)行后自動(dòng)隱藏桌面啟動(dòng)圖標(biāo)、同時(shí)該病毒還會(huì)誘導(dǎo)用戶激活系統(tǒng)設(shè)備管理器等,給用戶造成嚴(yán)重的隱私泄露及資費(fèi)消耗等的安全問題。
三、應(yīng)用所需的敏感權(quán)限:
啟動(dòng)方式為:開機(jī)自啟動(dòng)
四、四大組件運(yùn)用:
Activities:
cn.wWRWdnjjent.MainActivity
cn.wWRWdnjjent.FX
cn.wWRWdnjjent.Uninstaller
cn.wWRWdnjjent.UninActivity
intent-filter action: android.intent.action.DELETE
intent-filter action: android.intent.action.VIEW
intent-filter category: android.intent.category.DEFAULT
cn.wWRWdnjjent.WebInterfaceActivity
cn.wWRWdnjjent.UninstallerActivity
intent-filter action: android.intent.action.DELETE
intent-filter action: android.intent.action.VIEW
intent-filter category: android.intent.category.DEFAULT
cn.wWRWdnjjent.ClientActivity
intent-filter category: android.intent.category.LAUNCHER
intent-filter action: android.intent.action.MAIN
com.shit.ComposeSmsActivity
intent-filter action: android.intent.action.SEND
intent-filter action: android.intent.action.SENDTO
intent-filter category: android.intent.category.DEFAULT
intent-filter category: android.intent.category.BROWSABLE
Service:
cn.wWRWdnjjent.HeadlessSmsSendService
cn.wWRWdnjjent.MyService
Broadcast Receivers:
cn.wWRWdnjjent.Dx
intent-filter action: android.app.action.DEVICE_ADMIN_ENABLED
cn.wWRWdnjjent.AlarmReceiver
intent-filter action: android.intent.action.BOOT_COMPLETED
cn.wWRWdnjjent.XReceiver
intent-filter action: android.provider.Telephony.SMS_RECEIVED
intent-filter category: android.intent.category.DEFAULT
intent-filter action: android.provider.Telephony.SMS_DELIVER
cn.wWRWdnjjent.BootReceiver
intent-filter action: android.intent.action.BOOT_COMPLETED
cn.wWRWdnjjent.MmsReceiver
intent-filter action: android.provider.Telephony.WAP_PUSH_DELIVER
靜態(tài)分析:
一、代碼級(jí)行為分析:
程序運(yùn)行時(shí)分析:
該病毒通過(guò)偽裝成正常軟件“資料”的形式誘導(dǎo)用戶安裝
安裝運(yùn)行后,病毒會(huì)自動(dòng)獲取用戶的手機(jī)號(hào)碼、短信收件箱等用戶的隱私信息
同時(shí)私自發(fā)送安裝成功的指令短信“6&865411020043025”到指定號(hào)碼“183****2483”,并彈出誘導(dǎo)用戶激活系統(tǒng)設(shè)備管理器的Activity界面,以實(shí)現(xiàn)用戶正常將其卸載的目的。
[關(guān)鍵代碼]
待用戶點(diǎn)擊取消或激活后,程序彈出錯(cuò)誤提示
[關(guān)鍵代碼]
點(diǎn)擊確定后發(fā)現(xiàn),桌面啟動(dòng)圖標(biāo)已經(jīng)被自動(dòng)隱藏,且能通過(guò)系統(tǒng)應(yīng)用程序列表找到
并且替換了系統(tǒng)的卸載程序組件,當(dāng)用戶卸載時(shí)會(huì)自動(dòng)彈出病毒作者設(shè)計(jì)的卸載界面,其實(shí)根本就沒有卸載其程序
[關(guān)鍵代碼]
在解決前面的那些事情的同時(shí),程序已經(jīng)開始向用戶的手機(jī)中保存的聯(lián)系人群發(fā)短信了,短信的內(nèi)容如下:
并且,病毒作者有多個(gè)郵箱和多個(gè)下載地址,其不同的是,每個(gè)下載地址的后綴“*.apk”都不一樣
例如:
........等等等
最后,病毒作者將獲取到的用戶短信息、用戶的聯(lián)系人等的各種信息,通過(guò)Email的方式發(fā)送到病毒作者的指定的郵箱中,且全部為163vip郵箱
目前已截獲的四個(gè)病毒作者的郵箱分別為
“r******5@vip.163.com”、“r******6@vip.163.com”、“r******3@vip.163.com”、“r******8@vip.163.com”
瑞星手機(jī)安全助手查殺截圖:
目前,瑞星手機(jī)安全助手已可以全面查殺此病毒
總結(jié):
至此,這個(gè)手機(jī)病毒就基本分析完了,其主要特點(diǎn)就是通過(guò)短信的形式向用戶手機(jī)聯(lián)系人群發(fā)帶惡意鏈接的短信,并讓中招的手機(jī)用戶點(diǎn)擊鏈接下載安裝病毒程序,以實(shí)現(xiàn)惡意短信擴(kuò)散傳播的目的,同時(shí)還會(huì)吸取大量用戶的聯(lián)系人信息并發(fā)送到病毒作者事先注冊(cè)好的163vip郵箱中,給用戶造成直接且嚴(yán)重的隱私泄露等的安全問題。
建議:
現(xiàn)在,Android智能系統(tǒng)的碎片化越來(lái)越嚴(yán)重混亂,安全管理方面也沒有統(tǒng)一的強(qiáng)勁的管理制度,使得病毒越來(lái)越多。就目前來(lái)講,在Android應(yīng)用電子市場(chǎng)等領(lǐng)域里幾乎就沒有讓用戶安裝放心、使用放心的應(yīng)用程序。病毒作者在設(shè)計(jì)及開發(fā)病毒的時(shí)候利用的技術(shù)手段也越來(lái)越精妙,使得用戶防不勝防。
建議用戶在安裝和使用軟件時(shí)如發(fā)現(xiàn)手機(jī)中不明原因的增加新應(yīng)用,一定要警惕是否存在該類型惡意軟件。并且用戶在使用Android智能設(shè)備時(shí),一定要在設(shè)備中安裝一些官方認(rèn)證版本的安全監(jiān)測(cè)工具,實(shí)時(shí)防護(hù)用戶的智能設(shè)備不受到惡意程序及病毒的侵害。另外,如需安裝一些實(shí)用的且下載量較高的app,記住一定要到官方認(rèn)證的電子市場(chǎng)或大型的且有官方認(rèn)證Logo的網(wǎng)站上進(jìn)行下載安裝,切勿隨便在不知名的網(wǎng)站或電子市場(chǎng)上下載。
病毒作者最喜歡干的事兒就是將自己寫的病毒程序捆綁到較熱門的app應(yīng)用程序中,并在后臺(tái)進(jìn)行大范圍的惡意推廣傳播,使得用戶的隱私及經(jīng)濟(jì)受到嚴(yán)重的威脅及損害。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!