AVG揭露"画皮之术"美色当前看好钱包
确定安装后,将弹出“Android系统服务”(payload)的安装请求:
一旦用户选择了安装,将弹出激活设备管理器的对话框,病毒作者对其编写的“Android系统服务”描述为:“推荐激活系统服务,系统服务可以帮您的最大程度的节省电量”。
如果用户试图选择取消,对不起,它还将继续强制弹出这个对话框,直到用户选择了“激活”为止:
程序中还对某些可能对其造成被卸载或被停止等威胁的情况进行了处理,当进入以下界面后,将强制弹回至系统首页:
1、查看病毒的详细安装信息。
2、查看设备管理器。
3、进入国内某手机安全软件的一键加速界面。
Payload位于壁纸安装包的资源文件夹内文件名为“a33.jpg”,企图伪装成图片文件,实质为APK安装包,包名“android.phone.com”
具有以下权限:
android.permission.RECEIVE_BOOT_COMPLETED"
android.permission.RECEIVE_SMS
android.permission.SEND_SMS
android.permission.READ_SMS
android.permission.WRITE_SMS
android.permission.INTERNET
android.permission.ACCESS_NETWORK_STATE
android.permission.READ_PHONE_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.READ_LOGS
android.permission.KILL_BACKGROUND_PROCESSES
android.permission.RESTART_PACKAGES
android.permission.GET_TASKS
这些权限将被用于收发、读写短信,自我保护,获取系统信息等功用。
下列代码展示了其获取系统信息的功能,包含了手机型号、系统版本、语言、网络状态、是否ROOT等:
mActivityManager = (ActivityManager)getSystemService("activity");
getRunningServiceInfo();
Collections.sort(serviceInfoList, new comparatorServiceLable(null));
obj = (TelephonyManager)getSystemService("phone");
s5 = (new StringBuilder()).append(((TelephonyManager) (obj)).getDeviceId()).toString();
s2 = (new StringBuilder()).append(((TelephonyManager) (obj)).getSimSerialNumber()).toString();
obj2 = (new StringBuilder()).append(android.provider.Settings.Secure.getString(getContentResolver(), "android_id")).toString();
obj2 = new UUID(((String) (obj2)).hashCode(), (long)s5.hashCode() << 32 | (long)s2.hashCode());
((UUID) (obj2)).toString();
((TelephonyManager) (obj)).getSubscriberId();
((TelephonyManager) (obj)).getLine1Number();
Build.MODEL;
((WifiManager)getSystemService("wifi")).getConnectionInfo().getMacAddress();
((TelephonyManager) (obj)).getSimCountryIso();
此病毒一改以往的网络C&C服务器控制方式,采用全程短信控制,病毒作者目前使用的手机号为“+8613093632006”,来自安徽省中国联通。
采用配置文件对恶意软件行为进行控制,配置文件含有D、K、zdh,三个字段,分别表示了服务端号码(手机号)、关键字等。使用S、J、M、con、rep、E、xgh、xgnr等字段进行配置文件升级、短信发送、伪造等功能。
配置文件内容:
<?xml version=''1.0'' encoding=''utf-8''?>
<up>
<H>
<D>13093632006</D>
</H>
<K>
<n>转</n>
<n>卡号</n>
<n>姓名</n>
<n>行</n>
<n>元</n>
<n>汇</n>
<n>款</n>
<n>hello</n>
</K>
<A>
<zdh>10</zdh>
</A>
</up>
说了这么多细节,病毒作者到底能通过这些下流手段获得什么呢?
1、通过灵活配置短信,拦截短信、伪造短信,利用手机话费进行消费。
2、获取银行卡号,姓名等信息,且取款密码同时在短信中泄露,或密码为生日等弱口令,将有可能被其利用,例如:如果用户开通了网上银行且开通了手机支付,可利用网银进行消费。
3、获取用户大量隐私信息,可针对某位用户或某类用户进行定向钓鱼欺骗,谋求更多获利的可能性。
可以看出,此类病毒对用户的危害巨大,通过上面的分析,我们可以发现,病毒作者主要利用了两种手段,一为诱惑,二为欺骗,希望大家都可以做到:耐得住寂寞 ,经得起诱惑。
撕掉恶鬼的画皮后,为了帮助大家建立良好的手机安全防范意识,下面为大家提供几条建议:
1、对于这类无实际意义且明显带有诱惑性质的应用,应小心安装。
2、论坛内里鱼龙混杂,应用的安全性要小于第三方市场,而第三方市场的安全性,又小于官方市场,应谨慎识别、安装。
3、培养自己的软件使用安全意识,经常阅读AVG手机安全软件的报告,可以帮助您建立起这种意识。
4、除了国内常见的手机安全辅助工具,可同时安装一款全球知名的专注于反病毒的手机安全软件。■
<