伪装word应用的安卓木马分析报告


 2015年05月21日 11:14  3252

阿里移动安全实验室截获了伪装成word的木马软件。该木马使用word图标作为应用图标,启动后会有申请设备管理器,隐藏图标,私自获取用户短信,拦截短信,并将信息通过短信和邮件上传,此外相关短信行为可以通过短信指令进行控制等行为。该木马还对自身引用进行加壳处理,导致杀软难以识别。目前阿里钱盾已经可以全面查杀,有效保护用户安全。

一,木马概述
该木马伪装成word应用来欺骗用户进行安装,安装之后,仿冒word应用图标,然后对手机进行各种控制。目前此木马已经感染国内大多数省份,并呈持续上升态势:

伪装word应用的安卓木马分析报告

二, 木马行为及危害

2.1 一旦点击运行,该木马隐藏应用图标,申请激活设备管理权限,防止被其他程序卸载。
2.2  启动服务,判断网络状态,发送短信提示攻击者安装成功。
2.3 收集手机中的通讯录信息,短信记录,拦截短信,并可执行远程短信指令。

三, 木马的详细分析


3.1主界面一显示便隐藏应用图标,迷惑用户:

伪装word应用的安卓木马分析报告

伪装word应用的安卓木马分析报告

3.2 该木马会在启动后会申请激活设备管理器,增加卸载难度。
3.3 启动相关的服务:在服务中通过短信提示攻击者安装成功,之后判断网络状况,当网络不可用时,发送短信提示攻击者当前网络不可用,无法获得通讯录和短信信息并通过邮箱上传。

伪装word应用的安卓木马分析报告

3.4 网络可用时,此木马会收集被感染手机的联系人信息,拼接成字符串返回:

伪装word应用的安卓木马分析报告

3.5 之后再获取被感染手机的短信记录,拼接成字符串返回:

伪装word应用的安卓木马分析报告

3.6 根据获得到的短信记录和联系人信息,判断信息的是否存在,拼接字符串,以邮件的形式发送到指定的邮箱:

伪装word应用的安卓木马分析报告

伪装word应用的安卓木马分析报告

3.7 拦截短信,注册拥有高优先级的短信广播接收器:

伪装word应用的安卓木马分析报告

广播接收器中获取短信内容,根据指令判断是否拦截短信:

伪装word应用的安卓木马分析报告

通过字符串拼接获得拦截广播的敏感代码,拦截短信广播:

伪装word应用的安卓木马分析报告

3.8 该木马可执行相关远程短信指令,各种短信拦截发送等行为可通过短信指令进行控制:

指令字符

行为

#

发送指定的内容到指定号码

1

拦截所有短信

0

取消拦截所有短信

*

获取联系人并发送

@

获取短信信息并发送

最后会删除相关短信指令记录:

伪装word应用的安卓木马分析报告

四,攻击者信息


此木马使用的邮箱是126邮箱,通过代码分析登录邮箱,发现大量该木马获取到的相关隐私信息:


伪装word应用的安卓木马分析报告

抽样查看一个受害用户联系人信息:

伪装word应用的安卓木马分析报告

通过查看其短信信息,发现银行帐号,运营商短信等大量敏感隐私信息:

伪装word应用的安卓木马分析报告

查询邮箱登录记录,发现集中在海南省:

伪装word应用的安卓木马分析报告

四,总结

        
此款木马特点是对自身引用进行加壳处理,导致杀软难以识别,并且收集大量用户信息,建议用户使用阿里钱盾扫描查杀,如果发现已经被植入该木马,阿里移动安全实验室专家建议用户立刻更改所有账户密码,保护自身财产安全。目前安卓市场存在多家第三方Android应用市场和大量手机论坛,在为用户提供便捷服务的同时,也埋下了巨大的安全隐患。阿里钱盾专家提醒,仅从官方站点或可信任的应用市场下载手机软件,以避免受到手机病毒的危害。
  


本文来自合作伙伴“阿里聚安全”.


上一篇:Windows平台的Oracle使用USE_SHARED_SOCKET的作用


下一篇:微软将结束对Windows Vista系统的扩展支持