Android木马又有抬头之势。360手机云安全中心发布安全预警称,360手机卫士近日拦截到本月第二个恶性木马程序——安卓老虎机。值得注意的是,该木马10秒一次的高频率疯狂扣费行为,彻底颠覆了用户以往对手机木马恶意行为的印象。
据了解,“安卓老虎机”疯狂扣费,自动删除短信发送记录及运营商确认短信的行为,完全剥夺了用户对手机资费的知情权,手段之暴力在Android平台前所未见。目前,360手机卫士最新版已经可以查杀“安卓老虎机”,用户可以在线更新或登录shouji.360.cn下载最新版。
图1:360手机卫士全面查杀“安卓老虎机”木马
据介绍,“安卓老虎机”木马打包入一款正常的休闲游戏“硬币海盗”中,木马制造者采取篡改正常软件的方法,在软件包中植入扣费和屏蔽运营商短信的、代码,而后发布到各大论坛及下载站诱骗用户下载。“如果说之前的Android木马是身穿夜行衣的小偷,那‘安卓老虎机’就是手持重武器的恐怖分子”,专家形容。通过对“安卓老虎机”木马的逆向分析,360手机安全专家全面解析了其每一步作恶手段。
图2:木马每10秒钟自动发送一次短信
由图2可见,该行代码就是10秒疯狂扣费的源头,而发送对象指向数条号码,经过排查,均为被用户投诉的扣费号码(图3)。
图3:木马自动扣费指令到指定的扣费号码
在发送得手后,木马会自动调用两段代码,删除木马自身发送的扣费信息及运营商通知短信,达到蒙蔽用户的目的。
图4:删除短信的代码
图5:左侧为木马包,右侧为正常软件
在明确“安卓老虎机”木马的作恶手段后,360手机安全专家为广大Android用户提出了几点建议,提醒用户小心防范:
1、通过篡改正常软件来作恶的木马,通常在权限上会有所体现,木马包的权限和正常包会有明显不同,木马会多出数个敏感高危权限(图5),用户可以此为依据辨别;
2、在选择应用下载网站时,应该尽量选择大型可信站点,如Google官方市场或360手机必备等经过人工检测绝丢安全的软件,并养成经常杀毒的习惯;
3、Android平台的开放性也给木马提供了隐蔽的条件,如果木马获取高权限,用户将很难察觉木马入侵,所以最好安装360手机卫士等具有云安全智能拦截功能的手机安全软件,进行主动防御与一键查杀。