世界第一足球宝贝动态壁纸”原来是控制短信功能的木马!

原创 2012年09月10日 15:07:14

 

 作者:趋势科技移动安全工程师 Bob Pan

趋势科技最近发现一个Andriod 木马程序– ANDROIDOS_SMSZOMBIE.A,它会针对中国移动用户发起攻击,控制手机上的短信功能。它可以发送、转发和删除短信,而且更让用户不安的消息是,该恶意软件很难删除。

正如其他研究人员所指出的,这个木马会利用中国移动短信付费过程中的一个漏洞来产生未经授权的付款,窃取银行卡号和汇款收据信息。

这个威胁如何进入用户的手机?通常它会伪装成墙纸应用程序:“世界第一足球宝贝动态壁纸”。一旦安装,即可通过选项 > 墙纸 > 动态墙纸来开启。

 

以“世界第一足球宝贝动态壁纸”为饵的Android 木马,利用中国移动短信平台获利

开启动态墙纸后,用户会被要求安装木马程序(程序会被描述成“游戏”,安装后即可获得 100 点积分)。

 

 

一旦安装完成,恶意软件会要求将自己启用为设备管理器。这个恶意软件声称这样做可以节省电力。如果用户按下取消或返回按钮,通知会再度出现。只有将木马启用为设备管理器才会让用户返回主界面。

 

 

开启动态墙纸后,用户会被要求安装木马程序(程序被描述成“游戏”,安装后可以获得 100 点积分)

正如上文所提到的,这种特殊的木马程序相当难以删除。使用Android 自己的删除功能只会将用户带回主界面,没有机会选择要移除的应用程序。即使用第三方应用程序尝试删除木马也无法成功,因为该程序已经成为正在使用中的设备管理器。如果用户试着强制关闭该设备管理器,木马会说:“如果强制关闭可能导致系统错误!”如果用户将其关闭,木马会提示用户将它重新启用。

 

 

如果用户试着强制关闭该设备管理器,木马会说:「“果强制关闭可能导致系统错误!”如果用户关闭,木马会提示用户将它重新启用。

应用程序的恶意行为

当该应用程序进入用户手机后,会做些什么?首次执行时,会通过短信将应用程序版本和设备信息(型号、操作系统、语言、网络)发送到一个“控制号码”。

一旦执行,它将执行下列功能:

l 转发每一个收到的短信

l 删除内容含有可设定列表中单字的短信

l 发送短信

l 将短信“写”入收件夹

所有的这些功能都由攻击者发送到手机上的短信所控制。这些指令都是用下列XML 格式定义的:

标记

描述

S

改变当前设定

J

将目前资料写入 phone.xml

M

发送标记 con rep 所指定内容的短信

con

设定短信内容

rep

设定短信号码

E

将含有标记 xgh xgnr 所指定内容的短信写入收件夹

xgh

设定短信号码

xgnr

设定短信内容

例如,如果攻击者想要从中毒手机上发送短信给中国移动,他可以发送以下内容给手机:

<con>11</con><rep>10086</pre><M></M>

配置文件也使用了XML 格式:

这个文件显示出默认控制号码,默认内容关键词(转、卡号、姓名、行、元汇、款、hello)和默认号码关键词「10」。

标记

描述

D

控制号码

n

短信内容中的关键词。如果包含这关键词,这木马就会删除短信

zdh

号码的关键词。如果短信来自这号码,这短信就会被删除而不会被用户收到

如何删除?

这个应用程序如何防止被移除呢?它透过以下行为来做到:

·        该应用程序会检查木马状态。如果木马被删除,应用程序会要求用户安装。另外如果木马停止执行,该应用程序会重新启动服务。

·        如果该木马的任何一个服务停止了,它会重新启动该服务。

·        如果进入以下任一选项,用户会返回主界面:

n 设备管理器设定

n 木马应用程序的详细内容

n 应用程序– 360safe

n 如果木马没有被启用成设备管理器,它将持续要求被启用。

n 如果要停用木马为设备管理器,用户会被通知停用它会导致错误。

这里是手动移除该恶意软件的步骤:

1.        首先,移除上述的墙纸程序。

2.        使用第三方应用程序停掉android.phone.com

3.        停用木马为设备管理器。按下home 键并忽略任何警告。

4.        再次停掉android.phone.com

5.        按正常程序移除木马。

 

由于Android平台的开放性,手机恶意软件层出不穷,建议大家安装趋势科技手机安全套件,帮助大家安全上网、安装安全的应用程序、寻找遗失的手机及阻挡不明来电和信息。同时大家下载安装手机应用时自己也需提高警惕。

@原文出处:AndroidMalware Exploits China Mobile SMS Payments

此内容来自爱趋势博客http://blog.iqushi.com/

 

本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!

 

   

版权声明:本文为博主原创文章,未经博主允许不得转载。

针对超强手机木马DenDroid的分析与测试

赛门铁克的研究人员就在手机移动领域发现了一种新的名为Dendroid木马,可以轻松实现对手机远程恶意操控。而在此前赛门铁克发现了一个名为AndroidRAT的android远程管理软件被认为是第一个恶...
  • qq_33892071
  • qq_33892071
  • 2016年01月30日 17:21
  • 1160

android动态壁纸开发(能运行的)

网上也有讲开发动态壁纸的博客,我在看书编写这个例子时,发现我编写的动态壁纸找不到,后来发现是没有将我编写的WallpaperService跑起来,而书上和有点博客照搬写到是不需要Activity的,我...
  • csdn_blog_lcl
  • csdn_blog_lcl
  • 2016年09月13日 19:27
  • 1873

Android原理揭秘系列之动态墙纸

Livewallpaper,即动态墙纸,是Android的一大3D特色功能,用户可以在桌面选择加载动态墙纸,让自己的手机桌面背景旋动起来。 相对于静态桌面壁纸,动态墙纸可以展示各种动态变化的背景,而与...
  • droidpioneer
  • droidpioneer
  • 2011年07月20日 23:52
  • 8669

支付宝木马安卓短信窃取者分析

前言最近关于”点了一条短信 银行卡被盗刷好几千”之类的银行卡盗刷、各类理财账号被莫名转账等新闻越来越多。在这些案例中,非常多受害者都提到手机、验证码等关键词。是的,当前智能手机接收验证码用于更改密码、...
  • apksafe
  • apksafe
  • 2016年04月25日 11:02
  • 4844

Android动态壁纸开发

res/xml/cube1.xml
  • pmtoam
  • pmtoam
  • 2013年11月26日 17:09
  • 1809

android 7.1 默认动态壁纸

最近客户提了个需求:升级后默认使用动态壁纸。 但是根据网络资料大量修改动态壁纸的都是修改frameworks/base/core/res/res/values/config.xml文件中 defa...
  • Grindstone_Fos
  • Grindstone_Fos
  • 2018年01月22日 19:34
  • 147

Android动态壁纸 Live Wallpaper

动态壁纸Live Wallpaper架构   组件类 说明 WallpaperService 实现动态壁纸的服务程序 Wal...
  • pzhtpf
  • pzhtpf
  • 2012年04月29日 22:03
  • 3723

解密短信木马为何屡杀不尽--android手机短信木马的攻与防

短信,一个几乎很少有人使用的通信手段,却因为利益的驱使,使得短信木马泛滥,更有一个庞大的黑色产业链在高速运转,短信木马为何屡杀不尽呢?我们为您解密! 邂逅黑产         近日逛了逛以某西游记人物...
  • waldmer
  • waldmer
  • 2015年09月07日 13:32
  • 1705

手机里有个安卓apk 木马病毒 ,自动发短信到18389675619

手机安装miui6 ,里面有个安卓apk 木马病毒 ,自动发短信到18389675619。。。。
  • u014761548
  • u014761548
  • 2015年01月20日 15:10
  • 777

Android水面落叶动态壁纸源码及分析 附下载地址

Android自带的水面落叶动态壁纸效果,尝试使用plasma等jni来实现,最终效果仍然不如renderScript实现的好,因为renderScript相关学习资料比较少,不再重头编写rs脚本来实...
  • gediseer
  • gediseer
  • 2017年03月31日 19:38
  • 8490
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:世界第一足球宝贝动态壁纸”原来是控制短信功能的木马!
举报原因:
原因补充:

(最多只允许输入30个字)