当前位置:首页 >  科技 >  IT业界 >  正文

“超级短信大盗”窃取敏感信息瑞星手机助手率先拦截

 2015-06-16 11:41  来源: 互联网   我来投稿 撤稿纠错

  域名预订/竞价,好“米”不错过

近日,瑞星“云安全”系统拦截到一个名为“超级短信大盗”的手机病毒。瑞星安全专家介绍,该病毒基于Android系统,伪装成熟人发送的EXCEL资料文档,引诱网民下载点击。病毒运行后会收集用户手机中的联系人列表及短信信息,并将这些内容上传至黑客指定地址。手机一旦中毒,将面临巨额资费消耗、隐私信息泄露、各类网络账号及网银账号被盗等风险。目前,永久免费的瑞星手机安全助手(下载地址)已可查杀该病毒,广大网民应尽快安装,以免遭受不必要的损失。

图1:“超级短信大盗”伪装成EXCEL资料

图2:瑞星手机安全助手拦截“超级短信大盗”

“超级短信大盗”伪装成熟人发来的“资料”迷惑网民,一旦被下载运行,该病毒就会收集本机号码、联系人列表及短信信息,并上传至黑客指定邮箱。此外,该病毒还会更改系统设置,并隐藏自身图标,普通网民无法使用正常方式将其卸载。另外,在解析病毒代码时瑞星工程师发现了黑客存放非法所得信息的地址,并于第一时间将该地址内的所有信息予以清除。

图3:病毒向黑客指定地址上传的用户信息(已作清空处理)

瑞星安全专家指出,该病毒图标显示为EXCEL文档,具有较高的迷惑性。同时,病毒还会利用网民的手机向所有联系人群发带有病毒下载链接的恶意短信,由于是“熟人”发来的“资料”,多数人都会掉以轻心,因此该病毒具备极高的自我传播能力,网民应特别提高警惕。

针对上述情况,瑞星安全专家建议广大网民近期应做好以下防护工作:

1. 不轻信、不点击任何人使用短信发来的链接。如必须使用手机查看链接,应致电对方核实链接的内容后再进行操作。

2. 使用大型正规APP商店作为下载渠道,不从论坛或不正规的网站下载APP。

3. 安装专业的手机安全软件,没有手机安全软件的用户可以使用永久免费的瑞星手机安全助手(下载地址),养成良好的使用习惯,定期为手机扫描体检,远离病毒威胁。

一、病毒样本基本信息:

样本名称

病毒名称 超级短信大盗(a.privacy.emial.a)

包 名 cn.wWRWdnjj

SHA1 719e10f9459e882425786a0a380d3ddfad0cf3fc

MD5值 93f5e82f5d9a71b463703f45bad1f67d

Crc32 c49ad331

SHA-256 4a42cffb0df7e2ed1ddaef39298e52fa2a5d55b32c8b184b16d6d4c554d56147

文件大小 241 KB (246,830 字节)

签名证书 EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US

二、样本特征及传播方式:

该病毒伪装成正常软件诱导用户下载安装。安装运行后病毒会在后台私自发送指定内容的短信到指定号码、私自获取用户的短信息和联系人信息并回传至病毒作者的指定邮箱、运行后自动隐藏桌面启动图标、同时该病毒还会诱导用户激活系统设备管理器等,给用户造成严重的隐私泄露及资费消耗等的安全问题。

三、应用所需的敏感权限:

启动方式为:开机自启动

四、四大组件运用:

Activities:

cn.wWRWdnjjent.MainActivity

cn.wWRWdnjjent.FX

cn.wWRWdnjjent.Uninstaller

cn.wWRWdnjjent.UninActivity

intent-filter action: android.intent.action.DELETE

intent-filter action: android.intent.action.VIEW

intent-filter category: android.intent.category.DEFAULT

cn.wWRWdnjjent.WebInterfaceActivity

cn.wWRWdnjjent.UninstallerActivity

intent-filter action: android.intent.action.DELETE

intent-filter action: android.intent.action.VIEW

intent-filter category: android.intent.category.DEFAULT

cn.wWRWdnjjent.ClientActivity

intent-filter category: android.intent.category.LAUNCHER

intent-filter action: android.intent.action.MAIN

com.shit.ComposeSmsActivity

intent-filter action: android.intent.action.SEND

intent-filter action: android.intent.action.SENDTO

intent-filter category: android.intent.category.DEFAULT

intent-filter category: android.intent.category.BROWSABLE

Service:

cn.wWRWdnjjent.HeadlessSmsSendService

cn.wWRWdnjjent.MyService

Broadcast Receivers:

cn.wWRWdnjjent.Dx

intent-filter action: android.app.action.DEVICE_ADMIN_ENABLED

cn.wWRWdnjjent.AlarmReceiver

intent-filter action: android.intent.action.BOOT_COMPLETED

cn.wWRWdnjjent.XReceiver

intent-filter action: android.provider.Telephony.SMS_RECEIVED

intent-filter category: android.intent.category.DEFAULT

intent-filter action: android.provider.Telephony.SMS_DELIVER

cn.wWRWdnjjent.BootReceiver

intent-filter action: android.intent.action.BOOT_COMPLETED

cn.wWRWdnjjent.MmsReceiver

intent-filter action: android.provider.Telephony.WAP_PUSH_DELIVER

静态分析:

一、代码级行为分析:

程序运行时分析:

该病毒通过伪装成正常软件“资料”的形式诱导用户安装

安装运行后,病毒会自动获取用户的手机号码、短信收件箱等用户的隐私信息

同时私自发送安装成功的指令短信“6&865411020043025”到指定号码“183****2483”,并弹出诱导用户激活系统设备管理器的Activity界面,以实现用户正常将其卸载的目的。

[关键代码]

待用户点击取消或激活后,程序弹出错误提示

[关键代码]

点击确定后发现,桌面启动图标已经被自动隐藏,且能通过系统应用程序列表找到

并且替换了系统的卸载程序组件,当用户卸载时会自动弹出病毒作者设计的卸载界面,其实根本就没有卸载其程序

[关键代码]

在解决前面的那些事情的同时,程序已经开始向用户的手机中保存的联系人群发短信了,短信的内容如下:

并且,病毒作者有多个邮箱和多个下载地址,其不同的是,每个下载地址的后缀“*.apk”都不一样

例如:

........等等等

最后,病毒作者将获取到的用户短信息、用户的联系人等的各种信息,通过Email的方式发送到病毒作者的指定的邮箱中,且全部为163vip邮箱

目前已截获的四个病毒作者的邮箱分别为

“r******5@vip.163.com”、“r******6@vip.163.com”、“r******3@vip.163.com”、“r******8@vip.163.com”

瑞星手机安全助手查杀截图:

目前,瑞星手机安全助手已可以全面查杀此病毒

总结:

至此,这个手机病毒就基本分析完了,其主要特点就是通过短信的形式向用户手机联系人群发带恶意链接的短信,并让中招的手机用户点击链接下载安装病毒程序,以实现恶意短信扩散传播的目的,同时还会吸取大量用户的联系人信息并发送到病毒作者事先注册好的163vip邮箱中,给用户造成直接且严重的隐私泄露等的安全问题。

建议:

现在,Android智能系统的碎片化越来越严重混乱,安全管理方面也没有统一的强劲的管理制度,使得病毒越来越多。就目前来讲,在Android应用电子市场等领域里几乎就没有让用户安装放心、使用放心的应用程序。病毒作者在设计及开发病毒的时候利用的技术手段也越来越精妙,使得用户防不胜防。

建议用户在安装和使用软件时如发现手机中不明原因的增加新应用,一定要警惕是否存在该类型恶意软件。并且用户在使用Android智能设备时,一定要在设备中安装一些官方认证版本的安全监测工具,实时防护用户的智能设备不受到恶意程序及病毒的侵害。另外,如需安装一些实用的且下载量较高的app,记住一定要到官方认证的电子市场或大型的且有官方认证Logo的网站上进行下载安装,切勿随便在不知名的网站或电子市场上下载。

病毒作者最喜欢干的事儿就是将自己写的病毒程序捆绑到较热门的app应用程序中,并在后台进行大范围的恶意推广传播,使得用户的隐私及经济受到严重的威胁及损害。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关标签
瑞星

相关文章

  • 软文推广案例分享 瑞星推广

    软文就是企业通过策划,在报纸、杂志或者网络媒体上的的可以提升企业品牌形式和知名度、促进企业营销的一系列宣传性、阐述性文章,包括特定的新闻报道、深度文章、付费短文广告、案例分析等。

  • 瑞星2018年中国网络安全报告:挖矿与勒索病毒成一体化趋势

    近日,瑞星发布了《2018年中国网络安全报告》,报告显示2018年病毒活动十分活跃,数据泄露和网络攻击事件频发,包括Facebook、GitHub、A站、华住酒店、台积电等全球大中小企业均遭受不同程度的影响,网络安全依然不容小觑。

  • 瑞星携手江西民政 软硬兼施打造整体安保方案

    近日,瑞星公司正式对外公布其与江西省民政厅的合作伙伴关系。借助自身的品牌实力和技术积淀,瑞星公司为江西民政“数字民政”移动应用平台打造了一整套信息安全解决方案,该方案集结了瑞星高端系列防毒墙、网络安全预警系统和瑞星运维管理审计系统三项硬件产品以及国内首家虚拟化安全和终端安全管理等软件产品,获得用户的

    标签:
    瑞星
  • 自主可控+立体防护 瑞星终端安全护卫国家能源局

    近日,瑞星公司宣布,已与国家能源局达成协议,向其提供瑞星企业终端安全管理系统软件(以下简称瑞星ESM),并提供配套的售前、售后服务及技术支持。瑞星公司介绍,瑞星ESM拥有完整的自主知识产权,是国内首款模块化企业信息安全产品,能够针对用户的具体需求进行“私人定制”,具有功能全面、资源占用率低、部署灵活

    标签:
    瑞星
  • 自主可控护航能源企业 瑞星斩获宁夏电力万点大单

    近日,瑞星公司宣布,已斩获国家电网宁夏电力公司(以下简称宁夏电力)万点大单。本次瑞星将向宁夏电力提供万余点瑞星杀毒软件网络版,并提供相应的售前、售后服务。瑞星安全专家介绍,瑞星杀毒软件网络版是瑞星公司的王牌产品,具有病毒查杀率高、稳定性强、管理功能强大等特点,获得了宁夏电力的高度评价。据了解,宁夏电

    标签:
    瑞星

热门排行

信息推荐