“超级短信大盗”窃取敏感信息瑞星手机助手率先…

2015-06-17 02:00:08来源:[标签:来源] 阅读 ()

新老客户大回馈,云服务器低至5折

  近日,瑞星“云安全”系统拦截到一个名为“超级短信大盗”的手机病毒。瑞星安全专家介绍,该病毒基于Android系统,伪装成熟人发送的EXCEL资料文档,引诱网民下载点击。病毒运行后会收集用户手机中的联系人列表及短信信息,并将这些内容上传至黑客指定地址。手机一旦中毒,将面临巨额资费消耗、隐私信息泄露、各类网络账号及网银账号被盗等风险。目前,永久免费的瑞星手机安全助手(下载地址http://pc.rising.com.cn/Android/)已可查杀该病毒,广大网民应尽快安装,以免遭受不必要的损失。

  图1:“超级短信大盗”伪装成EXCEL资料  

  图2:瑞星手机安全助手拦截“超级短信大盗”

  “超级短信大盗”伪装成熟人发来的“资料”迷惑网民,一旦被下载运行,该病毒就会收集本机号码、联系人列表及短信信息,并上传至黑客指定邮箱。此外,该病毒还会更改系统设置,并隐藏自身图标,普通网民无法使用正常方式将其卸载。另外,在解析病毒代码时瑞星工程师发现了黑客存放非法所得信息的地址,并于第一时间将该地址内的所有信息予以清除。

  

 

  图3:病毒向黑客指定地址上传的用户信息(已作清空处理)

  瑞星安全专家指出,该病毒图标显示为EXCEL文档,具有较高的迷惑性。同时,病毒还会利用网民的手机向所有联系人群发带有病毒下载链接的恶意短信,由于是“熟人”发来的“资料”,多数人都会掉以轻心,因此该病毒具备极高的自我传播能力,网民应特别提高警惕。

  针对上述情况,瑞星安全专家建议广大网民近期应做好以下防护工作:

  1. 不轻信、不点击任何人使用短信发来的链接。如必须使用手机查看链接,应致电对方核实链接的内容后再进行操作。

  2. 使用大型正规APP商店作为下载渠道,不从论坛或不正规的网站下载APP。

  3. 安装专业的手机安全软件,没有手机安全软件的用户可以使用永久免费的瑞星手机安全助手(下载地址http://pc.rising.com.cn/Android/),养成良好的使用习惯,定期为手机扫描体检,远离病毒威胁。

  一、病毒样本基本信息:

  样本名称

  病毒名称 超级短信大盗(a.privacy.emial.a)

  包 名 cn.wWRWdnjj

  SHA1 719e10f9459e882425786a0a380d3ddfad0cf3fc

  MD5值 93f5e82f5d9a71b463703f45bad1f67d

  Crc32 c49ad331

  SHA-256 4a42cffb0df7e2ed1ddaef39298e52fa2a5d55b32c8b184b16d6d4c554d56147

  文件大小 241 KB (246,830 字节)

  签名证书 EMAILADDRESS=[email protected], CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US

  二、样本特征及传播方式:

  该病毒伪装成正常软件诱导用户下载安装。安装运行后病毒会在后台私自发送指定内容的短信到指定号码、私自获取用户的短信息和联系人信息并回传至病毒作者的指定邮箱、运行后自动隐藏桌面启动图标、同时该病毒还会诱导用户激活系统设备管理器等,给用户造成严重的隐私泄露及资费消耗等的安全问题。

  三、应用所需的敏感权限:

  启动方式为:开机自启动

  

  四、四大组件运用:

  Activities:

  cn.wWRWdnjjent.MainActivity

  cn.wWRWdnjjent.FX

  cn.wWRWdnjjent.Uninstaller

  cn.wWRWdnjjent.UninActivity

  intent-filter action: android.intent.action.DELETE

  intent-filter action: android.intent.action.VIEW

  intent-filter category: android.intent.category.DEFAULT

  cn.wWRWdnjjent.WebInterfaceActivity

  cn.wWRWdnjjent.UninstallerActivity

  intent-filter action: android.intent.action.DELETE

  intent-filter action: android.intent.action.VIEW

  intent-filter category: android.intent.category.DEFAULT

  cn.wWRWdnjjent.ClientActivity

  intent-filter category: android.intent.category.LAUNCHER

  intent-filter action: android.intent.action.MAIN

  com.shit.ComposeSmsActivity

  intent-filter action: android.intent.action.SEND

  intent-filter action: android.intent.action.SENDTO

  intent-filter category: android.intent.category.DEFAULT

  intent-filter category: android.intent.category.BROWSABLE

  Service:

  cn.wWRWdnjjent.HeadlessSmsSendService

  cn.wWRWdnjjent.MyService

  Broadcast Receivers:

  cn.wWRWdnjjent.Dx

  intent-filter action: android.app.action.DEVICE_ADMIN_ENABLED

  cn.wWRWdnjjent.AlarmReceiver

  intent-filter action: android.intent.action.BOOT_COMPLETED

  cn.wWRWdnjjent.XReceiver

  intent-filter action: android.provider.Telephony.SMS_RECEIVED

  intent-filter category: android.intent.category.DEFAULT

  intent-filter action: android.provider.Telephony.SMS_DELIVER

  cn.wWRWdnjjent.BootReceiver

  intent-filter action: android.intent.action.BOOT_COMPLETED

  cn.wWRWdnjjent.MmsReceiver

  intent-filter action: android.provider.Telephony.WAP_PUSH_DELIVER

  静态分析:

  一、代码级行为分析:

  程序运行时分析:

  该病毒通过伪装成正常软件“资料”的形式诱导用户安装

  安装运行后,病毒会自动获取用户的手机号码、短信收件箱等用户的隐私信息

 

  

  同时私自发送安装成功的指令短信“6&865411020043025”到指定号码“183****2483”,并弹出诱导用户激活系统设备管理器的Activity界面,以实现用户正常将其卸载的目的。

  [关键代码]

  

  

  待用户点击取消或激活后,程序弹出错误提示

  [关键代码] 

  点击确定后发现,桌面启动图标已经被自动隐藏,且能通过系统应用程序列表找到

 

  并且替换了系统的卸载程序组件,当用户卸载时会自动弹出病毒作者设计的卸载界面,其实根本就没有卸载其程序

  [关键代码]

  在解决前面的那些事情的同时,程序已经开始向用户的手机中保存的联系人群发短信了,短信的内容如下:

  

  并且,病毒作者有多个邮箱和多个下载地址,其不同的是,每个下载地址的后缀“*.apk”都不一样

  例如:

  http://laoa16888.com/5.apk

  http://laoa16888.com/zze.apk

  http://laoa16888.com/3.apk

  ........等等等

  最后,病毒作者将获取到的用户短信息、用户的联系人等的各种信息,通过Email的方式发送到病毒作者的指定的邮箱中,且全部为163vip邮箱

 

 

  目前已截获的四个病毒作者的邮箱分别为

  “r******[email protected]”、“r******[email protected]”、“r******[email protected]”、“r******[email protected]” 

 

  瑞星手机安全助手查杀截图:

  目前,瑞星手机安全助手已可以全面查杀此病毒

 

  总结:

  至此,这个手机病毒就基本分析完了,其主要特点就是通过短信的形式向用户手机联系人群发带恶意链接的短信,并让中招的手机用户点击链接下载安装病毒程序,以实现恶意短信扩散传播的目的,同时还会吸取大量用户的联系人信息并发送到病毒作者事先注册好的163vip邮箱中,给用户造成直接且严重的隐私泄露等的安全问题。

  建议:

  现在,Android智能系统的碎片化越来越严重混乱,安全管理方面也没有统一的强劲的管理制度,使得病毒越来越多。就目前来讲,在Android应用电子市场等领域里几乎就没有让用户安装放心、使用放心的应用程序。病毒作者在设计及开发病毒的时候利用的技术手段也越来越精妙,使得用户防不胜防。

  建议用户在安装和使用软件时如发现手机中不明原因的增加新应用,一定要警惕是否存在该类型恶意软件。并且用户在使用Android智能设备时,一定要在设备中安装一些官方认证版本的安全监测工具,实时防护用户的智能设备不受到恶意程序及病毒的侵害。另外,如需安装一些实用的且下载量较高的app,记住一定要到官方认证的电子市场或大型的且有官方认证Logo的网站上进行下载安装,切勿随便在不知名的网站或电子市场上下载。

  病毒作者最喜欢干的事儿就是将自己写的病毒程序捆绑到较热门的app应用程序中,并在后台进行大范围的恶意推广传播,使得用户的隐私及经济受到严重的威胁及损害。

标签:

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有

上一篇:LEOMASTER: 高达1/4的手机APP正在越界获取你的个人隐私

下一篇:腾讯云联手cSphere希云推Docker实训营 推动开源技术发展