在上圖所示的指令中�����,服務(wù)器正在指示惡意軟件刪除一個名為com.practical.share的軟件����。趨勢科技以前也遇到過其他會發(fā)送指令的服務(wù)器���,但以往的指令更多的是用于更新惡意軟件的代碼�����、安裝其他軟件(APK)���,或者打開指定的網(wǎng)址。
隨后趨勢科技研究了一下這個軟件�����,發(fā)現(xiàn)被刪除的是一個新的DroidDreamLight變種�����。DroidDreamLight家族產(chǎn)品最著名的特點就是會發(fā)送通知信息�,而這也是其社交工程陷阱的一部分。誘騙用戶點擊通知信息�����,隨后就會下載其他惡意軟件,或自動進(jìn)行更新�����。
這個DroidDreamLight變種被命名為ANDROIDOS_DORDRAE.O��,當(dāng)手機(jī)啟動或是接打電話時�����,就會啟動一個名為“SystemConfService”的服務(wù)��,該服務(wù)會和老版本一樣上傳信息��。
為了看到這個惡意軟件所產(chǎn)生的通知信息�����,我架設(shè)了一個網(wǎng)頁服務(wù)器���,修改模擬器的網(wǎng)絡(luò)參數(shù)��,讓惡意軟件可以與它建立聯(lián)系�,借此進(jìn)行測試。根據(jù)對程序代碼的分析�,該惡意軟件會定期從服務(wù)器接收到類似下圖所示的XML文件:
該惡意軟件會顯示四種類型的通知信息:
更新
這個通知信息可用于更新惡意軟件。當(dāng)用戶點擊更新通知后�,手機(jī)會顯示對話框詢問用戶是否要替代現(xiàn)有應(yīng)用程序���。如果用戶選擇“是”�,就會繼續(xù)安裝��,而要安裝的程序文件在顯示通知之前就已經(jīng)被惡意軟件預(yù)先下載完成了���。
下載 – 當(dāng)用戶點擊下載通知后���,手機(jī)會訪問惡意軟件所指定服務(wù)器上的特定文件。
市場 – 當(dāng)用戶點擊市場通知后��,惡意軟件會顯示服務(wù)器所指定軟件在應(yīng)用市場中的頁面�。
網(wǎng)頁 – 當(dāng)用戶點擊網(wǎng)頁通知后,惡意軟件會連到服務(wù)器所指定的網(wǎng)址����。
下面是來自該惡意軟件的通知信息樣本。當(dāng)然,惡意軟件的服務(wù)器會使用不同的標(biāo)題和描述���,而且也不會同時發(fā)送不同類型的通知��,以避免被懷疑����。
用戶如果想檢查自己的手機(jī)是否被感染了這個病毒���,可以到“設(shè)置>應(yīng)用程序>正在運行的服務(wù)”中檢查是否存在“SystemConfService”這個服務(wù)�。
如果有的話�����,用戶可以手工刪除惡意軟件����,為此請進(jìn)入“設(shè)置>應(yīng)用程序>管理應(yīng)用程序”,并在這里刪除有問題的應(yīng)用程序:
文中提到的DroidKungFu和DroidDreamLight變種分別被命名為ANDROIDOS_KUNGFU.CI和ANDROIDOS_DORDRAE.O����。
果.jpg)