馬上加入Android 台灣中文網,立即免費下載應用遊戲。
您需要 登錄 才可以下載或查看,沒有帳號?註冊
x
一、 基本信息
病毒名稱:Trojan/Android.BgServ.a
病毒別名:Fake10086
病毒類型:木馬
樣本MD5:4E70ABE0AE8A557F6623995BEF1D9BA7
樣本CRC32:9ED70AE2
樣本長度:98,684 字節
出現時間:2011.03.09
感染系統:Android 1.6及以上
二、 概述
2011年3月3日,Android官方應用市場上出現五十餘款應用程序被植入惡意代碼Trojan/Android.Rootcager(又名DroidDream)。Google隨即清理了這些應用程序、刪除了相關賬號,並遠程向被攻擊手機發送名為Android Market Security Tool(軟件包名com.android.vending.sectool.v1)的安全檢查工具,以清除惡意代碼。
3月9日,大部分軟件下載站和第三方應用市場出現被植入新木馬的Android Market Security Tool,該木馬具有向控制服務器發送手機隱私信息、發送扣費短信、攔截中國移動和中國聯通客服短信等能力。經分析,木馬的攻擊代碼利用了發佈在Google Code的一份開源代碼mmsbg。
三、 樣本特徵
樣本由兩部分組成:
1.Android市場安全工具(com.android.vending.sectool.v1)
2.惡意代碼BgServ(com.mms.bg)
相比於正常的Android 市場安全工具,惡意代碼增加了下列權限要求:
‧ android.permission.RECEIVE_SMS:接收短信
‧ android.permission.SEND_SMS:發送短信
‧ android.permission.ACCESS_FINE_LOCATION:通過GPS獲取精確地理位置
‧ android.permission.ACCESS_COARSE_LOCATION:通過網絡獲取大概位置
‧ android.permission.ACCESS_NETWORK_STATE:查詢網絡查詢
‧ android.permission.CHANGE_NETWORK_STATE:更改網絡連接
‧ android.permission.WRITE_EXTERNAL_STORAGE:修改/刪除SD卡中的內容
‧ android.permission.WAKE_LOCK:防止手機休眠
惡意代碼的啟動Activity為com.mms.bg.ui.FakeLanucherActivity,並將自身顯示在手機的程序列表(Launcher)中。此外,它開啟下列接收器:
‧ com.mms.bg.transaction.SmsReceiver:發送短信時觸發;
‧ com.mms.bg.transaction.PrivilegedSmsReceiver:接收短信時觸發,並具有最高執行優先權;
‧ com.mms.bg.ui.BootReceiver:手機開機後觸發;
‧ com.mms.bg.ui.AutoSMSRecevier:自定義活動com.mms.bg.SMS觸發;
‧ com.mms.bg.ui.InternetStatusReceiver:網絡連接發生改變時觸發;
‧ com.mms.bg.ui.BgService:自定義活動com.mms.bg.FILTER_ACTION觸發。
樣本代碼反編譯結果與發佈在Google Code的一份源碼及其類似,後者名為mmsbg,作者為sgq116300,項目地址是:
http://code.google.com/p/mmsbg/
從2010年12月1日最初上傳,至本報告發佈之日,這份源碼一直保持活躍地更新。在對樣本反編譯結果進行細粒度檢查後,我們認為其復用了這份mmsbg代碼。
樣本(及mmsbg代碼)判斷網絡連接時,使用cmwap、cmnet作為默認連接名稱;對號碼為10086和10010的短信進行攔截。其攻擊目標直指中國大陸的Android用戶。這是繼點擊鬼影後又一個專門針對國內用戶的Android木馬。
樣本具有搜集用戶手機IMEI碼、電話號碼、系統版本號等能力,並將其發送到下列網址:
http://www.youlubg.com:81/Coop/request3.php
但在對樣本的動態行為監控中,目前還沒有發現實際產生網絡連接。 |
|
鑽石
碎鑽
金豆
收藏
分享
專題
提升卡
變色卡
排首位
thank's
