近日,360云安全中心拦截到一批新型扣费木马,该批木马针对国内用户,木马作者以马甲账号发布到国内论坛,伪装成正常软件,如“勾魂美女”、“爱情卫士”、“绿色家园”等等,诱骗网友下载。
木马作者深知android用户很多都有看权限的习惯,所以木马包本身并没有什么敏感权限,但将APK解包后发现其隐藏了一个名为testnew.apk的木马子包,具有安装/卸载、发送短信、读取用户信息等多种高敏感权限。
经过安全专家深入分析,目前该系列木马有如下危害:
1、木马伪装成正常软件,安装后自动在后台安装木马子包;
2、私自使用谷歌高权限公有证书,能够不提示用户的情况下安装木马子包并非法获取系统root权限;
3、木马子包进入系统后私自向106开通的SP号码发送多条增值业务订购短信,大量吸费,并自动删除发送记录;
4、非法获取系统root权限,使手机沦为黑客的肉鸡。
以下简单说明一下该木马的作恶原理:
1、获取手机信息包含:IMEI IMSI PhoneNumber 等信息,用于收集用户隐私信息。
2、dealSMSinbox:监控收集短信状态,当发现手机短信状态有变化的时候,查看短信收件箱和发件箱内的短信是否属于SP号码(106开头), 如果是,则删除系统notification的通知(新短信通知), 然后将短信设置成已读状态并做删除处理。
360手机安全专家提醒您,“勾魂美女”系列木马为隐私窃取和资费消耗类木马,从代码级别直接篡改正常软件,隐蔽性极高,没有专业的工具基本上是无法识别的,下面提供几条建议,能够有效帮助大家避免中招:
1、“勾魂美女”系列木马通常散布在国内各个论坛和本地化软件市场中,隐蔽性极高,建议大家选择知名站点或在360手机必备中下载安全的Android应用;
2、发现手机出现异常情况,如话费莫名减少,流量无故消失,请立即使用360手机卫士进行木马查杀。
“勾魂美女”系列木马于5月初开始散播,针对国内论坛和市场,目前已经波及到了多数论坛,我们强烈建议您使用最新Android版本360手机卫士对手机进行安全检测,保障您的手机安全。