趋势科技最近发现一个Andriod 木马程序– ANDROIDOS_SMSZOMBIE.A,它会针对中国移动用户发起攻击,控制手机上的短信功能。它可以发送、转发和删除短信,而且更让用户不安的消息是,该恶意软件很难删除。
正如其他研究人员所指出的,这个木马会利用中国移动短信付费过程中的一个漏洞来产生未经授权的付款,窃取银行卡号和汇款收据信息。
这个威胁如何进入用户的手机?通常它会伪装成墙纸应用程序:“世界第一足球宝贝动态壁纸”。一旦安装,即可通过选项 > 墙纸 > 动态墙纸来开启。
以“世界第一足球宝贝动态壁纸”为饵的Android 木马,利用中国移动短信平台获利
开启动态墙纸后,用户会被要求安装木马程序(程序会被描述成“游戏”,安装后即可获得 100 点积分)。
一旦安装完成,恶意软件会要求将自己启用为设备管理器。这个恶意软件声称这样做可以节省电力。如果用户按下取消或返回按钮,通知会再度出现。只有将木马启用为设备管理器才会让用户返回主界面。
开启动态墙纸后,用户会被要求安装木马程序(程序被描述成“游戏”,安装后可以获得 100 点积分)
正如上文所提到的,这种特殊的木马程序相当难以删除。使用Android 自己的删除功能只会将用户带回主界面,没有机会选择要移除的应用程序。即使用第三方应用程序尝试删除木马也无法成功,因为该程序已经成为正在使用中的设备管理器。如果用户试着强制关闭该设备管理器,木马会说:“如果强制关闭可能导致系统错误!”如果用户将其关闭,木马会提示用户将它重新启用。
如果用户试着强制关闭该设备管理器,木马会说:「“果强制关闭可能导致系统错误!”如果用户关闭,木马会提示用户将它重新启用。
应用程序的恶意行为
当该应用程序进入用户手机后,会做些什么?首次执行时,会通过短信将应用程序版本和设备信息(型号、操作系统、语言、网络)发送到一个“控制号码”。
一旦执行,它将执行下列功能:
l 转发每一个收到的短信
l 删除内容含有可设定列表中单字的短信
l 发送短信
l 将短信“写”入收件夹
所有的这些功能都由攻击者发送到手机上的短信所控制。这些指令都是用下列XML 格式定义的:
标记 | 描述 |
S | 改变当前设定 |
J | 将目前资料写入 phone.xml |
M | 发送标记 con 和 rep 所指定内容的短信 |
con | 设定短信内容 |
rep | 设定短信号码 |
E | 将含有标记 xgh 和 xgnr 所指定内容的短信写入收件夹 |
xgh | 设定短信号码 |
xgnr | 设定短信内容 |
例如,如果攻击者想要从中毒手机上发送短信给中国移动,他可以发送以下内容给手机:
<con>11</con><rep>10086</pre><M></M>
配置文件也使用了XML 格式:
这个文件显示出默认控制号码,默认内容关键词(转、卡号、姓名、行、元汇、款、hello)和默认号码关键词「10」。
标记 | 描述 |
D | 控制号码 |
n | 短信内容中的关键词。如果包含这关键词,这木马就会删除短信 |
zdh | 号码的关键词。如果短信来自这号码,这短信就会被删除而不会被用户收到 |
如何删除?
这个应用程序如何防止被移除呢?它透过以下行为来做到:
· 该应用程序会检查木马状态。如果木马被删除,应用程序会要求用户安装。另外如果木马停止执行,该应用程序会重新启动服务。
· 如果该木马的任何一个服务停止了,它会重新启动该服务。
· 如果进入以下任一选项,用户会返回主界面:
n 设备管理器设定
n 木马应用程序的详细内容
n 应用程序– 360safe
n 如果木马没有被启用成设备管理器,它将持续要求被启用。
n 如果要停用木马为设备管理器,用户会被通知停用它会导致错误。
这里是手动移除该恶意软件的步骤:
1. 首先,移除上述的墙纸程序。
2. 使用第三方应用程序停掉android.phone.com。
3. 停用木马为设备管理器。按下home 键并忽略任何警告。
4. 再次停掉android.phone.com。
5. 按正常程序移除木马。
由于Android平台的开放性,手机恶意软件层出不穷,建议大家安装趋势科技手机安全套件,帮助大家安全上网、安装安全的应用程序、寻找遗失的手机及阻挡不明来电和信息。同时大家下载安装手机应用时自己也需提高警惕。
@原文出处:AndroidMalware Exploits China Mobile SMS Payments
此内容来自爱趋势博客http://blog.iqushi.com/
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!