今日一款名为“蝗虫”的手机木马疯狂肆虐。360手机安全中心接到大量反馈,称手机疯狂向通讯录联系人群发短信,诱骗对方下载名为“XX神器”的手机应用,且在短信中直呼姓名极具迷惑性,一旦有人中招,木马将会再次疯狂传播。360手机安全中心在7月28日率先捕获该木马样本后,监测到8月2日出现爆发式传播态势。目前360手机卫士已在国内首家查杀该木马,建议手机用户收到类似短信不点击不安装,并确保手机开启360手机卫士的实时防护功能,阻止“蝗虫”木马感染手机。
图1:蝗虫木马会群发诈骗短信,同时诱骗中招手机用户填写隐私信息
360手机安全专家分析发现,蝗虫木马主要存在以下五大主要危害:
1、群发诈骗短信。手机一旦中招,蝗虫木马会读取手机通讯录中的联系人列表,并向所有联系人群发包括木马下载地址的欺诈短信,极具扩散能力。短信中会显示短信接受者的姓名,极具迷惑性:“(联系人姓名)看这个,‘cdn.yyupload.com/***.apk’”。
2、窃取隐私信息。“XX神器”打开后,会要求用户填写用户名、密码、姓名及身份证号等隐私信息,提交后会发到一个指定的手机号码上。
3、可伪造或删除任何短信内容。
4、会转发手机中所有短信到指定的手机号码。
5、得到黑客远程指令后,可发送所有联系人信息到指定邮箱。
研究发现,“XX神器”安装时会同时释放具备更多恶意行为的恶意子包,恶意子包一旦安装,会将图标隐藏,即使删除了“XX神器”,木马依然可以作恶。
图2:360手机卫士可彻底清除“蝗虫”木马
360手机安全专家万仁国通过木马样本代码分析发现,代码中出现的手机号(同时也是微信号)及QQ号码为中南大学的一李姓学生所有。信息显示,该木马从8月2日早上8点开始呈现疯狂肆虐的态势,8月2日同时也是“七夕”,“XX神器”很有可能借节日疯狂传播。专家紧急提醒广大安卓手机用户,如果收到带有下载链接的短信,千万不要点击和安装。如果手机已中招,尽快为手机安装360手机卫士安全软件查杀,并尽快通知并通讯录好友,防止中招和扩散。(
媒体报道:
据公安部治安管理局官方微博“公安部打四黑除四害”消息,8月2日凌晨1时,深圳网警陆续接报群众手机感染“XX神器”木马病毒的警情,立即联合罗湖分局成立专案组开展侦查,后又接到山东潍坊、四川成都等地网警部门案情通报,经过17个小时的通宵奋战,于8月2日18时抓获制作传播该病毒的犯罪嫌疑人李某。目前,该案正在进一步侦查中。
据媒体报道,昨日一大早,家住北京海淀区牡丹园东里的陈先生手机短信接二连三地收到不同亲友发的奇怪短信,短信内容都还明确写明了陈先生的名字,并附有一个链接地址。好奇的陈先生一点开链接,就下载了一个名为“XXshenqi”的应用软件,随后,在陈先生不知情的情况下,这个软件又开始向他手机通讯录中的联系人群发同样的短信。就在陈先生郁闷的时候,他的手机又收到当初发给他短信的朋友来信,称刚刚发送的短信是病毒,让陈先生切勿点击。
全国不少地区的手机用户昨日一早都收到了这样的病毒短信:““XXX(机主姓名)看这个,ht://********XXshenqi.apk”。截至昨日下午,全国不少省市警方的官方微博都开始发布防范提醒,提醒网友遇到此类短信切勿点击下载。而“首都网警”、“广州从化公安”、“潍坊网警”、“新华社中国网事”、“中国移动10086官方微博”等微博也都已发布了相关提醒:这是手机病毒,点击后会下载恶意软件,窃取手机通讯录,并群发病毒短信!
有网友称,该安装包最先起源于一些低端视频网站的看片神器,但截至目前此说法也未得到官方证实。
媒体报道称,据一线网警表示,这条短信是一个典型的病毒短信。首先,该短信中的链接使用CDN为开头,以APK为结尾,熟悉手机软件的专业人士一眼就能看出这个链接是一个不安全的下载软件。网警解释说,CDN是内容分发网络,通俗地说就是一个资源管理中心,很多的资源都上传到这里,用户可以在这里下载。APK就是安卓系统的安装包,相当于windows中的exe文件,所以这个病毒只会对安卓手机产生影响。
蝗虫手机木马查杀分析报告:
一、主包分析
包名:com.example.xxshenqi
应用名:XX神器
MD5:5956C29CE2E17F49A71AC8526DD9CDE3
主要恶意行为:遍历联系人后群发短信,使恶意木马再次扩散传播;伪造钓鱼页面,诱骗用户注册填写个人信息,导致隐私泄露;安装恶意子包。
权限:
程序入口
点击应用图标启动
遍历手机中的通讯录,获得联系人姓名及号码,并向这些号码发送内容为“【联系人】看这个http://cdn.yyupload.com/down/4279193/XXshenqi.apk”的短信。
短信发送完成后,向指定号码发送内容为“XXshenqi 群发链接OK”的短信。
注册接收“android.intent.action.PACKAGE_ADDED”广播的receiver,用于检测子包是否安装。
检测子包是否已经安装,如果没有安装,则将子包apk从主包的assets目录中释放到/data/data/com.example.xxshenqi/files,以便下一步安装。
显示提示框,引导用户安装子包。
子包安装后会,系统会发出“android.intent.action.PACKAGE_ADDED”广播,这个广播会被之前注册的receiver接收到。
收到广播后,会启动已安装的子包,并向指定号码发送内容为“new Tro instanll Ok”的短信。
进入程序的主界面
登录页面的处理:
检查是否安装了子包,如果没有安装子包则弹框引导用户安装。
检查网络是否通畅,如果网络异常则提示用户检查网络。
密码大于等于6位会提示“正在验证,请稍候”,“密码或账号不存在!”
其他情况下提示“请输入正确的账号或密码”
账户永远不可能登录成功!
点击注册功能,显示一个钓鱼页面,诱导用户输入个人信息。
注册程序对用户输入的身份证号码做了一些简单的校验,例如:年份在1980至1996之间、月份的十位小于个位、日期在1至31之间、不符合条件的身份证号码不能通过验证。最后将获得个人信息(姓名和身份证号码)以短信形式发送至指定号码,并提示用户注册成功。
至此,主包功能结束
二、子包分析
包名:com.example.com.android.trogoogle
应用名:com.android.Trogoogle
MD5:b0dea6906329c47edbecd48adc15a996
主要恶意行为:启动后隐藏图标、通过短信指令控制,可实现窃取用户收到的短信信息、发送的短信信息、联系人信息、伪造和删除短信。
恶意子包在第一次启动后图标消失,之后的触发可以通过短信接收广播和开机自启广告启动,
通过开机自启动后,会直接进入SEND查询模式,随后进入RECV查询模式,当接受到短信时进入RECV查询模式。
SEND查询模式
进入SEND模式后直接将用户后续会发送的短信内容,通过短信的方式转发到指定号码。
RECV查询模式
进入RECV模式后,恶意子包接收短信指令,窃取用户短信信息,联系人信息,以及伪造短信。
对中招手机发送sendlink命令,会将联系人信息通过邮件的方式转发到指定邮箱。
对中招手机发送readmessage命令,把手机中所有的短信通过邮件的方式转发到指定邮箱。
通过邮件将联系人或短信发送到指定邮箱。
对中招手机发送sendmessage命令,会将后续收到的短信通过短信的方式转发到指定号码。
会对非11位的发件号码做特殊处理,如果中招手机接收到的短信的发送号码不是11位,木马作者认为可能是淘宝信息,在转发短信的同时,特别注释为“特殊消息”
对中招手机发送makemessage命令,接受到指令后会伪造短信信息。
三、解决方案
目前,360手机卫士可对蝗虫木马进行精准查杀。
下载 
下载 
下载 
下载 
下载 
喜欢 
顶
难过
囧
围观
无聊
