2015年05月21日 11:14 3252
阿里移动安全实验室截获了伪装成word的木马软件。该木马使用word图标作为应用图标,启动后会有申请设备管理器,隐藏图标,私自获取用户短信,拦截短信,并将信息通过短信和邮件上传,此外相关短信行为可以通过短信指令进行控制等行为。该木马还对自身引用进行加壳处理,导致杀软难以识别。目前阿里钱盾已经可以全面查杀,有效保护用户安全。
一,木马概述
该木马伪装成word应用来欺骗用户进行安装,安装之后,仿冒word应用图标,然后对手机进行各种控制。目前此木马已经感染国内大多数省份,并呈持续上升态势:
二, 木马行为及危害
2.1 一旦点击运行,该木马隐藏应用图标,申请激活设备管理权限,防止被其他程序卸载。
2.2 启动服务,判断网络状态,发送短信提示攻击者安装成功。
2.3 收集手机中的通讯录信息,短信记录,拦截短信,并可执行远程短信指令。
三, 木马的详细分析
3.1主界面一显示便隐藏应用图标,迷惑用户:
3.2 该木马会在启动后会申请激活设备管理器,增加卸载难度。
3.3 启动相关的服务:在服务中通过短信提示攻击者安装成功,之后判断网络状况,当网络不可用时,发送短信提示攻击者当前网络不可用,无法获得通讯录和短信信息并通过邮箱上传。
3.4 网络可用时,此木马会收集被感染手机的联系人信息,拼接成字符串返回:
3.5 之后再获取被感染手机的短信记录,拼接成字符串返回:
3.6 根据获得到的短信记录和联系人信息,判断信息的是否存在,拼接字符串,以邮件的形式发送到指定的邮箱:
3.7 拦截短信,注册拥有高优先级的短信广播接收器:
广播接收器中获取短信内容,根据指令判断是否拦截短信:
通过字符串拼接获得拦截广播的敏感代码,拦截短信广播:
3.8 该木马可执行相关远程短信指令,各种短信拦截发送等行为可通过短信指令进行控制:
指令字符
行为
#
发送指定的内容到指定号码
1
拦截所有短信
取消拦截所有短信
*
获取联系人并发送
@
获取短信信息并发送
最后会删除相关短信指令记录:
四,攻击者信息
此木马使用的邮箱是126邮箱,通过代码分析登录邮箱,发现大量该木马获取到的相关隐私信息:
抽样查看一个受害用户联系人信息:
通过查看其短信信息,发现银行帐号,运营商短信等大量敏感隐私信息:
查询邮箱登录记录,发现集中在海南省:
四,总结
此款木马特点是对自身引用进行加壳处理,导致杀软难以识别,并且收集大量用户信息,建议用户使用阿里钱盾扫描查杀,如果发现已经被植入该木马,阿里移动安全实验室专家建议用户立刻更改所有账户密码,保护自身财产安全。目前安卓市场存在多家第三方android应用市场和大量手机论坛,在为用户提供便捷服务的同时,也埋下了巨大的安全隐患。阿里钱盾专家提醒,仅从官方站点或可信任的应用市场下载手机软件,以避免受到手机病毒的危害。
本文来自合作伙伴“阿里聚安全”.