阿里移动聚安全技术团队截获了一款用户无法取消、终止或者卸载的木马,包括使用未更新的安全软件也不能有效帮助用户阻止该木马的霸道安装。用户安装木马后深度隐藏,之后进行大量的信息窃取和远程控制,包括交易短信窃取,盗打电话及完全控制手机,危害极大。目前阿里钱盾已经可以全面查杀,有效保护用户安全。
一,木马概述
该木马短小精悍,大小仅为19k,通过伪装成FlashPlayer来欺骗用户进行安装,安装之后,仿冒FlashPlayer应用图标:
二,木马行为及危害
2.1 释放文件,霸道安装
一旦点击运行,该木马首先在data目录下创建文件,通过此文件与远程黑客服务器进行实时数据与命令的交互。然后,以FlashPlayer需要“Get video codec access”的理由来诱导用户激活设备管理器。如果用户选择“Acitivate”,则进入木马的控制逻辑;如果用户选择“Cancel”,则木马不断启动激活任务管理器的界面,中断用户的正常操作,强制霸占系统顶层界面,迫使用户选择激活设备管理器。
一般用户根本无法取消、终止或者卸载该木马。使用普通安全软件此时也是形同虚设,无法帮助用户有效阻断该木马的霸道行为。
2.2 深度隐藏,信息窃取,远程控制
用户被迫选择激活设备管理器后,首先会隐藏图标和激活任务管理,以实现完美隐藏和防止用户卸载等功能;其次窃取用户手机的联系人信息,盗取用户短信信息,通过短信拦截实时截获和存储短信信息 ;并会以http post方式与远程黑客服务器进行数据交互和命令交互。通过实时数据和命令的交互,黑客可通过用户手机实现短信转发,盗打电话等功能。黑客可以用户手机为跳板,以获取的联系人为目标进行欺诈等行为。
2.3 目前国外已经发现第二个变种
SHA1:2c1cb7860ab26de15f0104b6076dc2eb51931588,与第一个样本的主要区别在上线url地址发生变化。
三,木马的详细分析
3.1 MainActivity入口模块
主要功能:在data/data/temp文件,设置url链接(用于数据保存和上传),该木马以http post的方式进行数据的交互;启动木马主要的服务模块MMSService;隐藏应用程序的图标和SmsReceiver类
3.2 MMSService模块
主要功能:以FlashPlayer需要“Get video codec access”的理由来诱导用户激活设备管理器。如果选择“Acitivate”,则进入木马的控制逻辑;如果选择“Cancel”,则木马以100毫秒时间间隔不断启动激活任务管理器的界面,强制霸占系统顶层界面,迫使用户选择激活设备管理器,防止用户卸载。
3.3 交互的主要指令
3.4 其他模块
UssdService 盗打电话
UpdateService模块,实时存储短信拦截模块中获取的短信
SendService模块,以短信形式发送数据
SmsReceiver模块,短信劫持
BootReceiver模块,开机启动
ExpService模块:获取联系人和手机号
四,总结
此款木马特点是安装手段霸道,用户下载点击安装后便无法取消,即使使用普通安全软件也无法阻止,对用户威胁巨大。目前安卓市场存在多家第三方Android应用市场和大量手机论坛,在为用户提供便捷服务的同时,也埋下了巨大的安全隐患。阿里钱盾团队提醒您,仅从官方站点或可信任的应用市场下载手机软件,以避免受到手机病毒的危害。此外,针对此类手机病毒,阿里钱盾已经实现完美阻断查杀。
本文来自合作伙伴“阿里聚安全”.