趨勢科技最近分析了手機病毒 – DroidKungFu的最新變種,偵測為ANDROIDOS_KUNGFU.CI。當我們監控ANDROIDOS_KUNGFU.CI和它的遠端伺服器之間的網路流量時,我們偶然的看到一個刪除某特定套件的指令。
在上面這個指令裡,伺服器指示惡意軟體刪除套件 – com.practical.share。趨勢科技看過其他伺服器會送出的指令,像是更新惡意軟體的程式碼,安裝一個Android安裝套件(APK),或是打開一個網址。
趨勢科技研究了一下這個套件,發現這個被刪除的套件是一個新的DroidDreamLight變種。DroidDreamLight家族為人所知的就是會發送通知訊息,而這也是它社交工程陷阱的一部分。誘騙使用者去點擊通知訊息,就會下載新的元件或是自我更新。
這個特定的DroidDreamLight變種被偵測為ANDROIDOS_DORDRAE.O,當手機啟動或是收發通話的時候會啟動一個服務 – 「SystemConfService」。它會上傳跟之前版本一樣的資訊。
我想看看這個惡意軟體所會產生的通知訊息,所以我就架設一個網頁伺服器,修改模擬器的網路設定讓惡意軟體可以對它進行連線,藉此來進行測試。根據我對這程式碼的分析,惡意軟體會預期從伺服器那接收到如同下面樣本格式的XML檔案:
惡意軟體會顯示四種類型的通知訊息:
更新
這個通知訊息會用來更新惡意軟體。當使用者點擊更新通知時,手機會出現對話框來詢問使用者是否要取代現有的應用程式。如果使用者選擇「OK」,就會繼續安裝。要安裝的安裝套件在顯示通知之前就已經被惡意軟體預先下載了。
下載 – 當使用者點擊下載通知時,它會去下載惡意軟體伺服器所指定的檔案。
- 市場 – 當使用者點擊市場通知時,惡意軟體會出現伺服器所指定的在Android Market上的特定軟體的頁面。
- 網頁 – 當使用者點擊網頁通知時,惡意軟體就會連到伺服器所指定的網址。
下面是來自惡意軟體的通知訊息樣本。當然,惡意軟體伺服器會使用不同的標題和描述(可能包含社交工程陷阱的話術),而且也不會同時寄送這些通知以避免懷疑。
使用者如果想檢查自己的手機是否有感染這隻病毒,可以到「設定 > 應用程式 > 正在運作的服務」內檢查是否有「SystemConfService」這個服務存在。
@原文出處:Connections Between DroidDreamLight and DroidKungFu
@開箱文與評測報告
防毒也防失竊 趨勢科技行動安全防護軟體測試
[評測]趨勢科技行動安全防護for Android
TMMS 3.75 Stars in PC World AU
@延伸閱讀:
專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式
日本色情業者利用行動條碼(QR Code)誘騙付費Android智慧型手機的惡意程式,半年內增加14.1倍
Android app 惡意程式:愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒
