新浪博客
确定为ANDROIDOS_PIRATES.A的木马化程序会要求用户提供比正常版本还要多的权限,也会做比原本版本更多的事情。
安装
在ANDROIDOS_PIRATES.A的安装过程中,会注册三个接收器:BootReceiver、AlarmReceiver和SMSReceiver。BootReceiver和AlarmReceiver负责启动服务
资料窃取
一旦安装了接收器,ANDROIDOS_PIRATES.A会从受感染设备得到下列信息,并将它们传送到恶意服务器:
l
l
l
l
因为无法直接到服务器上检查,所以我们直接分析了恶意软件的程序代码。
代码显示,如果服务器回复受感染设备字符串
l 13521419442
l
l
l
l
l
l
l
请注意,上述这些号码并不属于服务号码,通过在网上搜索发现,这些号码可能也曾经被其他旧的恶意软件所利用。
短信监控
此外,这个恶意软件会连到服务器去下载数据,并储存在所安装的中毒手机上的资料库内。这个资料库包含了一个表格
KeyWords栏用来储存恶意软件所要监控的字符串,每当中毒手机通过SMSReceiver收到短信后,如果字符串符合,恶意软件就会根据IsConfirm栏里的值来决定要删除短信还是上传到服务器去。
这是一个新的手法。正如前面所提到的,旧的针对Android短信的恶意软件利用号码来过滤特定短信。而这种恶意软件会检查短信内的关键字,所以也更加具有针对性。另外,恶意软件作者也可以更新KeyWords栏里的关键字。
这个恶意软件的其它功能包括发送短信到一个特定号码,以及添加书签到中毒设备的浏览器上,而具体的短信内容和书签URL都取决于服务器的回应。
用户可以到下列位置检查自己是否受到感染:设置
如果想要了解更多如何保护Android设备不被恶意软件影响的信息,请参考我们的文章
趋势科技技术顾问简胜财强烈建议:“用户在安装任何应用程序时都应谨慎小心,请仔细阅读程序说明,确定此程序要求用户授与的权限是否合理。”用户可以通过下列步骤检查自己的手机是否已经遭到此恶意程序的感染:点击智能型手机的“设置”,选取“应用程序”中的“正在运行的服务”,若发现有名为“MonitorService”的文件存在,则手机已经遭受感染。用户也可以手工删除此恶意程序:选取“设置”→“应用程序”→“管理应用程序”,然后删除此程序。
有鉴于使用Android平台的智能型手机快速普及、针对性的恶意程序层出不穷,趋势科技特别提供保护 Android 智能型手机的五个简单步骤供使用者自保:
1.
2.
3.
4.
5.
@原文出处:Trojanized Android App Checks for Keywords in SMS Messages
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
安装
在ANDROIDOS_PIRATES.A的安装过程中,会注册三个接收器:BootReceiver、AlarmReceiver和SMSReceiver。BootReceiver和AlarmReceiver负责启动服务
资料窃取
一旦安装了接收器,ANDROIDOS_PIRATES.A会从受感染设备得到下列信息,并将它们传送到恶意服务器:
l
l
l
l
因为无法直接到服务器上检查,所以我们直接分析了恶意软件的程序代码。
代码显示,如果服务器回复受感染设备字符串
l 13521419442
l
l
l
l
l
l
l
请注意,上述这些号码并不属于服务号码,通过在网上搜索发现,这些号码可能也曾经被其他旧的恶意软件所利用。
短信监控
此外,这个恶意软件会连到服务器去下载数据,并储存在所安装的中毒手机上的资料库内。这个资料库包含了一个表格
KeyWords栏用来储存恶意软件所要监控的字符串,每当中毒手机通过SMSReceiver收到短信后,如果字符串符合,恶意软件就会根据IsConfirm栏里的值来决定要删除短信还是上传到服务器去。
这是一个新的手法。正如前面所提到的,旧的针对Android短信的恶意软件利用号码来过滤特定短信。而这种恶意软件会检查短信内的关键字,所以也更加具有针对性。另外,恶意软件作者也可以更新KeyWords栏里的关键字。
这个恶意软件的其它功能包括发送短信到一个特定号码,以及添加书签到中毒设备的浏览器上,而具体的短信内容和书签URL都取决于服务器的回应。
用户可以到下列位置检查自己是否受到感染:设置
如果想要了解更多如何保护Android设备不被恶意软件影响的信息,请参考我们的文章
趋势科技技术顾问简胜财强烈建议:“用户在安装任何应用程序时都应谨慎小心,请仔细阅读程序说明,确定此程序要求用户授与的权限是否合理。”用户可以通过下列步骤检查自己的手机是否已经遭到此恶意程序的感染:点击智能型手机的“设置”,选取“应用程序”中的“正在运行的服务”,若发现有名为“MonitorService”的文件存在,则手机已经遭受感染。用户也可以手工删除此恶意程序:选取“设置”→“应用程序”→“管理应用程序”,然后删除此程序。
有鉴于使用Android平台的智能型手机快速普及、针对性的恶意程序层出不穷,趋势科技特别提供保护 Android 智能型手机的五个简单步骤供使用者自保:
1.
2.
3.
4.
5.
@原文出处:Trojanized Android App Checks for Keywords in SMS Messages
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
 |
 |
|
 |
 |
  |