安裝
在ANDROIDOS_PIRATES.A的安裝過(guò)程中����,會(huì)注冊(cè)三個(gè)接收器:BootReceiver���、AlarmReceiver和SMSReceiver��。BootReceiver和AlarmReceiver負(fù)責(zé)啟動(dòng)服務(wù) – “MonitorService”,該服務(wù)負(fù)責(zé)讓惡意軟件與惡意服務(wù)器進(jìn)行通訊���。另一方面����,SMSReceiver在受感染設(shè)備每次接收短信時(shí)都會(huì)自動(dòng)執(zhí)行。
資料竊取
一旦安裝了接收器��,ANDROIDOS_PIRATES.A會(huì)從受感染設(shè)備得到下列信息�,并將它們傳送到惡意服務(wù)器:
·設(shè)備型號(hào) ·SDK版本 ·IMEI號(hào)碼 ·IMSI號(hào)碼
|
因?yàn)闊o(wú)法直接到服務(wù)器上檢查,所以我們直接分析了惡意軟件的程序代碼����。
代碼顯示,如果服務(wù)器回復(fù)受感染設(shè)備字符串 – “sendsms”��,那么ANDROIDOS_PIRATES.A就會(huì)發(fā)送含有手機(jī)IMEI號(hào)碼和設(shè)備型號(hào)的短信到下列號(hào)碼:
·13521419442 ·13552040604 ·13661258744 ·13521273944 ·13552040894 ·13520931794 ·13520234741 ·13520234194
|
請(qǐng)注意�����,上述這些號(hào)碼并不屬于服務(wù)號(hào)碼��,通過(guò)在網(wǎng)上搜索發(fā)現(xiàn)���,這些號(hào)碼可能也曾經(jīng)被其他舊的惡意軟件所利用�。
短信監(jiān)控
此外�,這個(gè)惡意軟件會(huì)連到服務(wù)器去下載數(shù)據(jù),并儲(chǔ)存在所安裝的中毒手機(jī)上的資料庫(kù)內(nèi)。這個(gè)資料庫(kù)包含了一個(gè)表格 – “blogconfig”��,它有4個(gè)欄:BlogType����、KeyWords、Charging和IsConfirm�。
KeyWords欄用來(lái)儲(chǔ)存惡意軟件所要監(jiān)控的字符串,每當(dāng)中毒手機(jī)通過(guò)SMSReceiver收到短信后����,如果字符串符合,惡意軟件就會(huì)根據(jù)IsConfirm欄里的值來(lái)決定要?jiǎng)h除短信還是上傳到服務(wù)器去����。
這是一個(gè)新的手法。正如前面所提到的����,舊的針對(duì)Android短信的惡意軟件利用號(hào)碼來(lái)過(guò)濾特定短信。而這種惡意軟件會(huì)檢查短信內(nèi)的關(guān)鍵字��,所以也更加具有針對(duì)性���。另外�,惡意軟件作者也可以更新KeyWords欄里的關(guān)鍵字。
這個(gè)惡意軟件的其它功能包括發(fā)送短信到一個(gè)特定號(hào)碼��,以及添加書(shū)簽到中毒設(shè)備的瀏覽器上����,而具體的短信內(nèi)容和書(shū)簽URL都取決于服務(wù)器的回應(yīng)���。
用戶(hù)可以到下列位置檢查自己是否受到感染:設(shè)置 > 應(yīng)用程序 > 正在運(yùn)行的服務(wù)���,然后檢查是否存在MonitorService。受感染的用戶(hù)也可以利用下列步驟手工刪除這個(gè)惡意軟件:設(shè)置 > 應(yīng)用程序 > 管理應(yīng)用程序���,然后刪除這個(gè)惡意應(yīng)用程序�。
趨勢(shì)科技技術(shù)顧問(wèn)簡(jiǎn)勝財(cái)強(qiáng)烈建議:“用戶(hù)在安裝任何應(yīng)用程序時(shí)都應(yīng)謹(jǐn)慎小心����,請(qǐng)仔細(xì)閱讀程序說(shuō)明,確定此程序要求用戶(hù)授與的權(quán)限是否合理���。”用戶(hù)可以通過(guò)下列步驟檢查自己的手機(jī)是否已經(jīng)遭到此惡意程序的感染:點(diǎn)擊智能型手機(jī)的“設(shè)置”�,選取 “應(yīng)用程序”中的“正在運(yùn)行的服務(wù)”���,若發(fā)現(xiàn)有名為“MonitorService”的文件存在�����,則手機(jī)已經(jīng)遭受感染�����。用戶(hù)也可以手工刪除此惡意程序:選取“設(shè)置”→“應(yīng)用程序”→“管理應(yīng)用程序”��,然后刪除此程序�。
有鑒于使用Android平臺(tái)的智能型手機(jī)快速普及、針對(duì)性的惡意程序?qū)映霾桓F����,趨勢(shì)科技特別提供保護(hù) Android 智能型手機(jī)的五個(gè)簡(jiǎn)單步驟供使用者自保:
1. 確保使用Android平臺(tái)提供的基本手機(jī)防護(hù)功能:設(shè)定PIN碼或是開(kāi)機(jī)密碼等可以讓手機(jī)與信息受到基本保護(hù)。
2. 盡量避免使用Wi-Fi自動(dòng)連接功能:連接開(kāi)放性的網(wǎng)絡(luò)��,如公用Wi-Fi���,看似相當(dāng)便利����,但此類(lèi)網(wǎng)絡(luò)的開(kāi)放特質(zhì)如同雙面刃���,會(huì)讓用戶(hù)手機(jī)中的資料暴露在輕易被有心人士竊取的風(fēng)險(xiǎn)中�����。
3. 在下載來(lái)自第三方應(yīng)用程序商店的APP前請(qǐng)審慎考慮�。
4. 當(dāng)有程序或網(wǎng)頁(yè)請(qǐng)求授權(quán)時(shí)�,請(qǐng)?jiān)敿?xì)閱讀其請(qǐng)求授權(quán)的內(nèi)容。
5. 安裝有良好聲譽(yù)且有效的智能型手機(jī)防毒軟件:如趨勢(shì)科技推出的TMMS 7.0���,可有效阻擋惡意程序入侵手機(jī)平臺(tái)��,保護(hù)Android 裝置免受惡意程序威脅�����。
