安裝
在ANDROIDOS_PIRATES.A的安裝過程中,會注冊三個接收器:BootReceiver、AlarmReceiver和SMSReceiver�。BootReceiver和AlarmReceiver負責啟動服務 – “MonitorService”����,該服務負責讓惡意軟件與惡意服務器進行通訊���。另一方面����,SMSReceiver在受感染設備每次接收短信時都會自動執(zhí)行。
資料竊取
一旦安裝了接收器��,ANDROIDOS_PIRATES.A會從受感染設備得到下列信息��,并將它們傳送到惡意服務器:
·設備型號 ·SDK版本 ·IMEI號碼 ·IMSI號碼
|
因為無法直接到服務器上檢查����,所以我們直接分析了惡意軟件的程序代碼。
代碼顯示��,如果服務器回復受感染設備字符串 – “sendsms”�,那么ANDROIDOS_PIRATES.A就會發(fā)送含有手機IMEI號碼和設備型號的短信到下列號碼:
·13521419442 ·13552040604 ·13661258744 ·13521273944 ·13552040894 ·13520931794 ·13520234741 ·13520234194
|
請注意,上述這些號碼并不屬于服務號碼�����,通過在網上搜索發(fā)現��,這些號碼可能也曾經被其他舊的惡意軟件所利用����。
短信監(jiān)控
此外,這個惡意軟件會連到服務器去下載數據��,并儲存在所安裝的中毒手機上的資料庫內��。這個資料庫包含了一個表格 – “blogconfig”�����,它有4個欄:BlogType����、KeyWords、Charging和IsConfirm�����。
KeyWords欄用來儲存惡意軟件所要監(jiān)控的字符串���,每當中毒手機通過SMSReceiver收到短信后����,如果字符串符合����,惡意軟件就會根據IsConfirm欄里的值來決定要刪除短信還是上傳到服務器去�。
這是一個新的手法�����。正如前面所提到的���,舊的針對Android短信的惡意軟件利用號碼來過濾特定短信��。而這種惡意軟件會檢查短信內的關鍵字���,所以也更加具有針對性。另外���,惡意軟件作者也可以更新KeyWords欄里的關鍵字���。
這個惡意軟件的其它功能包括發(fā)送短信到一個特定號碼,以及添加書簽到中毒設備的瀏覽器上����,而具體的短信內容和書簽URL都取決于服務器的回應。
用戶可以到下列位置檢查自己是否受到感染:設置 > 應用程序 > 正在運行的服務���,然后檢查是否存在MonitorService����。受感染的用戶也可以利用下列步驟手工刪除這個惡意軟件:設置 > 應用程序 > 管理應用程序����,然后刪除這個惡意應用程序。
趨勢科技技術顧問簡勝財強烈建議:“用戶在安裝任何應用程序時都應謹慎小心��,請仔細閱讀程序說明����,確定此程序要求用戶授與的權限是否合理。”用戶可以通過下列步驟檢查自己的手機是否已經遭到此惡意程序的感染:點擊智能型手機的“設置”���,選取 “應用程序”中的“正在運行的服務”���,若發(fā)現有名為“MonitorService”的文件存在,則手機已經遭受感染��。用戶也可以手工刪除此惡意程序:選取“設置”→“應用程序”→“管理應用程序”����,然后刪除此程序。
有鑒于使用Android平臺的智能型手機快速普及、針對性的惡意程序層出不窮�����,趨勢科技特別提供保護 Android 智能型手機的五個簡單步驟供使用者自保:
1. 確保使用Android平臺提供的基本手機防護功能:設定PIN碼或是開機密碼等可以讓手機與信息受到基本保護��。
2. 盡量避免使用Wi-Fi自動連接功能:連接開放性的網絡����,如公用Wi-Fi,看似相當便利���,但此類網絡的開放特質如同雙面刃���,會讓用戶手機中的資料暴露在輕易被有心人士竊取的風險中。
3. 在下載來自第三方應用程序商店的APP前請審慎考慮�����。
4. 當有程序或網頁請求授權時��,請詳細閱讀其請求授權的內容�。
5. 安裝有良好聲譽且有效的智能型手機防毒軟件:如趨勢科技推出的TMMS 7.0,可有效阻擋惡意程序入侵手機平臺�����,保護Android 裝置免受惡意程序威脅。
