會發送通知訊息的Android手機病毒:DroidDreamLight和DroidKungFu

 

作者:Mark Balanza (威脅分析師)

趨勢科技最近分析了手機病毒 – DroidKungFu的最新變種,偵測為ANDROIDOS_KUNGFU.CI。當我們監控ANDROIDOS_KUNGFU.CI和它的遠端伺服器之間的網路流量時,我們偶然的看到一個刪除某特定套件的指令。

會發送通知訊息的Android手機病毒:DroidDreamLight和DroidKungFu

在上面這個指令裡,伺服器指示惡意軟體刪除套件 – com.practical.share趨勢科技看過其他伺服器會送出的指令,像是更新惡意軟體的程式碼,安裝一個Android安裝套件(APK),或是打開一個網址。

趨勢科技研究了一下這個套件,發現這個被刪除的套件是一個新的DroidDreamLight變種。DroidDreamLight家族為人所知的就是會發送通知訊息,而這也是它社交工程陷阱的一部分。誘騙使用者去點擊通知訊息,就會下載新的元件或是自我更新。

這個特定的DroidDreamLight變種被偵測為ANDROIDOS_DORDRAE.O,當手機啟動或是收發通話的時候會啟動一個服務 – 「SystemConfService」。它會上傳跟之前版本一樣的資訊。

我想看看這個惡意軟體所會產生的通知訊息,所以我就架設一個網頁伺服器,修改模擬器的網路設定讓惡意軟體可以對它進行連線,藉此來進行測試。根據我對這程式碼的分析,惡意軟體會預期從伺服器那接收到如同下面樣本格式的XML檔案:

惡意軟體會預期從伺服器那接收到如同下面樣本格式的XML檔案

惡意軟體會顯示四種類型的通知訊息:

 更新

這個通知訊息會用來更新惡意軟體。當使用者點擊更新通知時,手機會出現對話框來詢問使用者是否要取代現有的應用程式。如果使用者選擇「OK」,就會繼續安裝。要安裝的安裝套件在顯示通知之前就已經被惡意軟體預先下載了。

這個通知訊息會用來更新惡意軟體。當使用者點擊更新通知時,手機會出現對話框來詢問使用者是否要取代現有的應用程式。如果使用者選擇「OK」,就會繼續安裝。要安裝的安裝套件在顯示通知之前就已經被惡意軟體預先下載了

 

下載 – 當使用者點擊下載通知時,它會去下載惡意軟體伺服器所指定的檔案。

  • 市場 – 當使用者點擊市場通知時,惡意軟體會出現伺服器所指定的在Android Market上的特定軟體的頁面。
  • 網頁 – 當使用者點擊網頁通知時,惡意軟體就會連到伺服器所指定的網址。

下面是來自惡意軟體的通知訊息樣本。當然,惡意軟體伺服器會使用不同的標題和描述(可能包含社交工程陷阱的話術),而且也不會同時寄送這些通知以避免懷疑。

 

惡意軟體的通知訊息樣本

使用者如果想檢查自己的手機是否有感染這隻病毒,可以到「設定 > 應用程式 > 正在運作的服務」內檢查是否有「SystemConfService」這個服務存在。

 

使用者如果想檢查自己的手機是否有感染這隻病毒,可以到「設定 > 應用程式 > 正在運作的服務」內檢查是否有「SystemConfService」這個服務存在。

 

如果有的話,使用者可以手動刪除惡意軟體,進到「設定 > 應用程式 > 管理應用程式」來移除有問題的應用程式:

 

使用者可以手動刪除惡意軟體,進到「設定 > 應用程式 > 管理應用程式」來移除有問題的應用程式

 

 

文中提到的DroidKungFu和DroidDreamLight變種分別被偵測為ANDROIDOS_KUNGFU.CIANDROIDOS_DORDRAE.O。想要知道更多關於行動威脅的資訊,請參考我們的行動威脅資訊站。這也有中文版手機病毒相關文章。

 

@原文出處:Connections Between DroidDreamLight and DroidKungFu

 

趨勢科技行動安全防護 for Android(手機 平板)

@開箱文與評測報告
防毒也防失竊 趨勢科技行動安全防護軟體測試
[評測]趨勢科技行動安全防護for Android
TMMS 3.75 Stars in PC World AU

@延伸閱讀:

深入探討中國的Android第三方軟體商店

中國第三方應用商店提供下載的手機間諜軟體

專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式

日本色情業者利用行動條碼(QR Code)誘騙付費Android智慧型手機的惡意程式,半年內增加14.1倍

Android木馬應用程式 :木馬幫你手機申購加值服務

保護你的Android智慧型手機5步驟

Android app 惡意程式:愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒

手機成竊聽器!!冒充Google+ 圖示,駭你全都露

分享:
本篇發表於 Android, 手機平板行動安全 並標籤為 , , , , 。將永久鏈結加入書籤。

發表迴響

你的電子郵件位址並不會被公開。

你可以使用這些 HTML 標籤與屬性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>