趋势科技最近分析了一只针对中国移动用户的 Android 恶意软件,中国移动是全球最大移动电话运营商的电信国有企业。
恶意软件经由短信内的链接散播。这封短信告诉中国移动用户透过短信内的链接可以帮他们在有漏洞的设备上安装补丁,但实际上却是下载恶意档案。
这个被侦测为 ANDROIDOS_TCENT.A 的恶意软件会在感染手机上搜集特定信息,像是 IMEI 号码,手机型号和 SDK 版本。接着,它连到一个特定的网址去下载一个 XML 配置文件。研究了这配置文件的内容后,我们发现类型标签和它的值跟这恶意软件的运作相关联。
我们可以推测出卷标内的值代表什么功能。像 <regport> 卷标包含了当恶意软件拿到受感染手机的 IMEI 号码后,要送简讯过去的号码。
在 <pbreceport> 里的号码是中国简讯服务商的号码( 1062 , 1065 , 1066 ),也包括中国移动的服务号码( 10086 )。恶意软件会监控所有上述号码送到这手机的简讯并加以删除,以防止用户看到。这可以防止用户发现恶意软件发送简讯到这些简讯服务商。
根据其运作模式,这恶意软件会试图向用户隐藏自己,所以它安装之后并不会在手机屏幕上出现图标,这点跟其他先前公布的 Android 恶意软件并不相同。唯一可见的中毒证据是在手机的记忆卡内会出现一个命名为” Tencent” 的文件夹。数据中包含恶意档案 v1.log 和 smsConfig.xml 。
我们还观察到恶意软件代码中有启用除错模式,这可能意味着攻击仍然处于试验阶段,很可能在未来还会出现改良过的版本。
如果用户的手机已经被这恶意软件感染了,可以照着趋势科技 病毒百科内 ANDROIDOS_TCENT.A 的病毒报告 来进行手动移除。
安全更新仅仅是众多网络黑客用来伪装并说服用户在其 Android 设备上执行恶意档案的方式。我们已经看到许多 Android 恶意软件会伪装成游戏,媒体播放器,甚至是资安软件的形式出现。想要了解更多相关威胁,请参考 假软件对 Android 用户的影响 。
