以”世界第一足球寶貝動態壁紙”為餌的Android木馬,控制中國移動用戶的簡訊功能

趨勢科技最近看到一個Andriod木馬程式 – ANDROIDOS_SMSZOMBIE.A，它會針對中國移動用戶來控制手機上的簡訊功能。它可以發送、轉發和刪除簡訊。而且更讓使用者不安的消息是，這惡意軟體很難被移除。

正如其他研究人員所指出的，這個木馬會利用中國移動簡訊付費過程中的一個漏洞來產生未經授權的付款、竊取銀行卡號和匯款收據資訊。

這個威脅如何進入使用者的手機上呢？通常它會包裝成桌布應用程式:”世界第一足球寶貝動態壁紙”。一旦被安裝，可以透過選單 > 桌布 > 動態桌布來開啟。

開啟動態桌布後，使用者會被要求安裝木馬程式（它會將其描述成一個「遊戲」，完成後就可以拿到100點）。

一旦安裝完成，惡意軟體會要求將自己啟用為裝置管理員。這個惡意軟體聲稱這樣做可以節省電力。如果使用者按下取消或返回按鈕，通知會再度出現。只有將木馬啟用為裝置管理員才會讓使用者返回主畫面。

正如之前所提到的，這種特殊的木馬程式相當難以移除。使用Android自己的移除功能只會將使用者帶回主畫面，沒有機會選擇要移除的應用程式。即使用第三方應用程式來嘗試移除木馬，也無法將其刪除，因為它還是啟用中的裝置管理員。如果使用者試著去強制關閉其裝置管理員身份，該木馬會說：「如果強制關閉可能導致系統錯誤！」如果使用者關閉它，木馬會提示使用者將它重新啟用。

應用程式的惡意行為

當這應用程式被安裝在使用者的手機上時，它會做些什麼？首次執行時，它會透過簡訊將應用程式版本和設備資訊（型號、作業系統、語言、網路）發送到一個「控制號碼」。

一旦執行，它具有下列功能：

轉發每一個收到的簡訊
刪除內容含有可設定列表中單字的簡訊
發送簡訊
將簡訊「寫」入收件夾

所有的這些功能都由攻擊者送到手機上的簡訊所控制。這些指令都是用下列的XML格式：

標記	描述
S	改變目前設定
J	將目前資料寫入phone.xml
M	發送標記con和rep所指定內容的簡訊
con	設定簡訊內容
rep	設定簡訊號碼
E	將含有標記xgh和xgnr所指定內容的簡訊寫入收件夾
xgh	設定簡訊號碼
xgnr	設定簡訊內容

例如，如果攻擊者想要從中毒手機上發送短信給中國移動，他可以發送以下內容給手機：

設定檔也是用XML格式：

https://blog.trendmicro.com/wp-content/uploads/2012/08/zombie-figure5.png

這個檔案顯示出預設控制號碼，預設內容關鍵字（转、卡号、姓名、行、元汇、款、hello）和預設號碼關鍵字「10」。

標記	描述
D	控制號碼
n	簡訊內容中的關鍵字。如果包含這關鍵字，這木馬就會刪除簡訊
zdh	號碼的關鍵字。如果簡訊來自這號碼，這簡訊就會被刪除而不會被使用者收到

如何移除?

這個應用程式如何防止被移除呢？它透過以下行為來做到：

這個應用程式會檢查木馬狀態。如果木馬被移除，應用程式會要求使用者安裝。另外，如果木馬停止執行，這應用程式會重新啟動該服務。
如果該木馬的任何一個服務停止了，它會重新啟動該服務。
如果進入以下任一選項，使用者會返回主畫面：
- 裝置管理員設定
- 木馬應用程式的詳細內容
- 應用程式 – 360safe
- 如果木馬沒有被啟用成裝置管理員，它將持續要求被啟用。
- 如果要停用木馬為裝置管理員，使用者會被通知停用它會導致錯誤。

這裡是手動移除該惡意軟體的步驟：