以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能

趨勢科技最近看到一個Andriod木馬程式 – ANDROIDOS_SMSZOMBIE.A,它會針對中國移動用戶來控制手機上的簡訊功能。它可以發送、轉發和刪除簡訊。而且更讓使用者不安的消息是,這惡意軟體很難被移除。

正如其他研究人員所指出的,這個木馬會利用中國移動簡訊付費過程中的一個漏洞來產生未經授權的付款、竊取銀行卡號和匯款收據資訊。

這個威脅如何進入使用者的手機上呢?通常它會包裝成桌布應用程式:”世界第一足球寶貝動態壁紙”。一旦被安裝,可以透過選單 > 桌布 > 動態桌布 來開啟。

 

以”世界第一足球寶貝動態壁紙”為餌的Android木馬:,利用中國移動簡訊付費

 

開啟動態桌布後,使用者會被要求安裝木馬程式(它會將其描述成一個「遊戲」,完成後就可以拿到100點)。

開啟動態桌布後,使用者會世界第一足球寶貝動態壁紙”為餌:被要求安裝木馬程式(它會將其描述成一個「遊戲」,完成後就可以拿到100點)

一旦安裝完成,惡意軟體會要求將自己啟用為裝置管理員。這個惡意軟體聲稱這樣做可以節省電力。如果使用者按下取消或返回按鈕,通知會再度出現。只有將木馬啟用為裝置管理員才會讓使用者返回主畫面。

以”世界第一足球寶貝動態壁紙”為餌的Android木馬:,利用中國移動簡訊付費

 

正如之前所提到的,這種特殊的木馬程式相當難以移除。使用Android自己的移除功能只會將使用者帶回主畫面,沒有機會選擇要移除的應用程式。即使用第三方應用程式來嘗試移除木馬,也無法將其刪除,因為它還是啟用中的裝置管理員。如果使用者試著去強制關閉其裝置管理員身份,該木馬會:「如果強制關閉可能導致系統錯誤!」如果使用者關閉它,木馬會提示使用者將它重新啟用。

以”世界第一足球寶貝動態壁紙”為餌的Android木馬:,利用中國移動簡訊付費

應用程式的惡意行為

當這應用程式被安裝在使用者的手機上時,它會做些什麼?首次執行時,它會透過簡訊將應用程式版本和設備資訊(型號、作業系統、語言、網路)發送到一個「控制號碼」。

一旦執行,它具有下列功能:

 

  • 轉發每一個收到的簡訊
  • 刪除內容含有可設定列表中單字的簡訊
  • 發送簡訊
  • 將簡訊「寫」入收件夾

 

所有的這些功能都由攻擊者送到手機上的簡訊所控制。這些指令都是用下列的XML格式:

 

標記 描述
S 改變目前設定
J 將目前資料寫入phone.xml
M 發送標記con和rep所指定內容的簡訊
con 設定簡訊內容
rep 設定簡訊號碼
E 將含有標記xgh和xgnr所指定內容的簡訊寫入收件夾
xgh 設定簡訊號碼
xgnr 設定簡訊內容

 

例如,如果攻擊者想要從中毒手機上發送短信給中國移動,他可以發送以下內容給手機:

<con>11</con><rep>10086</pre><M></M>

 

設定檔也是用XML格式:

http://blog.trendmicro.com/wp-content/uploads/2012/08/zombie-figure5.png

 

這個檔案顯示出預設控制號碼,預設內容關鍵字(转、卡号、姓名、行、元汇、款、hello)和預設號碼關鍵字「10」。

 

標記 描述
D 控制號碼
n 簡訊內容中的關鍵字。如果包含這關鍵字,這木馬就會刪除簡訊
zdh 號碼的關鍵字。如果簡訊來自這號碼,這簡訊就會被刪除而不會被使用者收到

 

如何移除?

這個應用程式如何防止被移除呢?它透過以下行為來做到:

 

  • 這個應用程式會檢查木馬狀態。如果木馬被移除,應用程式會要求使用者安裝。另外,如果木馬停止執行,這應用程式會重新啟動該服務。
  • 如果該木馬的任何一個服務停止了,它會重新啟動該服務。
  • 如果進入以下任一選項,使用者會返回主畫面:
    • 裝置管理員設定
    • 木馬應用程式的詳細內容
    • 應用程式 – 360safe
    • 如果木馬沒有被啟用成裝置管理員,它將持續要求被啟用。
    • 如果要停用木馬為裝置管理員,使用者會被通知停用它會導致錯誤。

 

這裡是手動移除該惡意軟體的步驟:

 

  • 首先,移除上述的桌布應用程式。
  • 使用第三方應用程式來停掉android.phone.com。
  • 停用木馬為裝置管理員。按下home鍵並忽略任何警告。
  • 再次停掉android.phone.com。
  • 按正常程序移除木馬。

@原文出處:Android Malware Exploits China Mobile SMS Payments 作者:Bob Pan(趨勢科技行動安全工程師)

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

 

◎延伸閱讀

迷思:「Google 會檢查所有上架的手機應用程式,因此我應該很安全才對。」

Android裝置上的七種惡意軟體類型與排行

熱門電影惡意 APP 誘餌,蜘蛛人詐騙再起;黑暗騎士帳單暴漲~”Android的暢銷遊戲″網站詐很大

Android – 更潮就更危險!六個Android 主要威脅與安全守則

天氣預報軟體 – GoWeather出現木馬山寨版,攔截手機認證碼,駭客看影音你付費

「Sent from Yahoo! Mail on Android」:Android 平台 Yahoo! App 程式漏洞可能讓駭客散發垃圾郵件

假 Android 版本Skype,安裝後簡訊爆量,帳單暴增

Android上的間諜軟體測試版會竊取簡訊

FB_banner0331-2

◎ 歡迎加入趨勢科技社群網站
以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能 以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能 以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能 以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能