360手机安全检测中心日前截获一款名为“短信僵尸”的新型高危手机木马,通过伪装成情色动态壁纸等软件诱惑用户下载安装,之后通过获取积分等名义诱导用户安装恶意木马子包,恶意木马子包伪装成 “Android系统服务”,在后台监听和拦截用户短信,并留有后门,使得任何人都可以通过发送短信指令的方式来远程操纵该手机,窃取用户隐私、发送诈骗短信、伪造钓鱼信息等。
该木马还通过暴力手段迫使用户选择将其加入系统设备管理器,并且通过监控用户操作、强制关闭等多项检测和防护手段, 达到防止卸载木马子包的目的。
以下是360手机安全检测中心对“短信僵尸”木马的技术分析报告:
一、恶意子包获取高危权限,控制手机短信收发
首先,恶意木马子申请了许多与系统高危权限。以及保护自身被关闭的后台服务模块:读取系统日志,杀死其他进程,获取进程列表。
1 木马子包的声明文件申请有许多高危权限并具有特殊的服务模块:
图示1和4是木马申请开机自启动的权限以及对应模3块
图示2是木马用于监控自身是否被激活系统设备权限的模块
图示3是木马的后台服务模块, 并且具有前台特性, 可以持续运行而不会被系统随便杀死
图示5是木马申请了接受短信,发送短信,读取短信和写入短信的高危权限
图示6是木马申请了读取系统日志,杀死其他进程,获取进程列表的高危权限
2 木马运行之后监听和拦截用户短信, 并发送短信。
木马会通过xml模块分析下发的短信是否包含木马控制指令,通过SMSReceiver模块接收短信。如果接收了远程控制指令就阻止短信存放到短信收件箱中,用户因此对此毫无察觉。
此外,木马还通过短信发送一些有关被控制手机信息:
同时会通过AndphoneActivity模块,发送手机关键隐私信息给木马控制者指定的手机号码。如获取手机IMEI,IMSI,手机电话号,MAC地址,联网信息等
在此木马样本中,360安全专家发现,信息的接收的手机号码为:13093632006。其还可通过服务器控制根据需要随时修改。
二、“短信僵尸”木马存三大恶意行为:窃隐私、诈骗及钓鱼
分析最终发现,木马控制指令可通过短信方式下发。同时有三种作恶方式:
1.木马拦截包含指定关键字的短信后发送到特定号码。默认拦截包含“转、卡号、姓名、行、元、汇、款”以及从106服务号发来的短信后,直接将其发送到13093632006。
甚至还可通过类似“
2. 木马还可通过中毒手机以机主名义发送指定短信。
此木马样本中分析,可通过类似“
3. 向中毒手机短信表中插入短信,这意味着该木马可伪造发件人等信息,可用来制造“钓鱼”短信。
可通过类似 “
三、防卸载防杀毒软件 “短信僵尸”木马可自我保护
木马通过TService模块常驻系统服务, 以此监控短信数据库的变化:
mService模块会监控用户操作的手机界面, 避免用户操作对木马有威胁的手机功能,甚至还阻止用户使用360手机卫士的进程清理功能。
此外,通过logcat来实现木马自保护,并启动一个线程长时间保持运行, 持续消耗手机电力,导致手机待机变短。
四,“短信僵尸”木马具有很多诱骗用户的提示信息
木马将自己起名为”Android系统服务”, 这样会让用户误以为是个系统程序,以此欺骗用户。 并且该木马还通过系统媒体存储需要激活才能正常使用等一些恐吓或者伪造的信息,让用户感知不到木马的存在。
目前,360手机卫士已经可以彻底查杀短信僵尸木马,并且在其安装时进行实时拦截和风险预警,完全做到了能防能杀的全面保护,有力的遏止了短信僵尸木马的传播扩散,让亿万用户可以安心使用手机。