随着Android系统在智能手机市场占有率的飞速增长,这一平台也逐渐成为黑客的热门攻击目标。近日,安天实验室率先发现专门针对国内Android用户的一种新木马ADRD。统计结果显示,自1月27日首次出现至今,该木马已经在国内大范围辐射和传播。
这一木马被黑客植入到大量正常的应用程序(App)之中,尤其是系统壁纸类软件,从而避免出现在手机的应用程序面版上。其典型代表是国外一款名为“Live Prints Live Wallpaper”(中文名“动态脚印动态壁纸”)的合法软件,目前国内主流手机论坛和下载站点提供的安装程序均已被植入ADRD木马(图1)。
图1 正常软件和被植入ADRD木马软件的对比
根据安天对捕获样本的分析,ADRD木马获取手机的自启动权限、网络访问权限、通讯录与SD卡的访问权限等,并启动后台服务,将手机卡的IMEI/IMSI码加密后发送到两个指定服务器。随后,这两个控制服务器将向手机发送大量URL,木马服务从中随机选择并访问。最终,木马将在后台隐蔽地访问wap.baidu.com的一些特定搜索页面。
这一木马呈现出显著的中国特色。它通过名为“CMNET”、“CMWAP”、“UNINET”、“UNIWAP”的移动网络进行连接,这正是中国移动和中国联通的网络接入点名称。另一方面,控制服务器的多个域名均注册自湖北武汉。此外,最终访问的wap.baidu.com搜索结果也全部是中文关键词。
图2 ADRD访问中文关键词搜索页面 对用户而言,手机感染此木马后,将造成大量的网络访问行为,因此产生高额数据流量费用。而攻击者极有可能因为wap.baidu.com的搜索推广链接被点击而最终获益。
近年来,手机终端的安全威胁日益严重,手机病毒已经出现窃取用户手机号、联系人、地理位置等个人隐私、订阅SP服务、恶意扣费、访问恶意网址等威胁。然而,根据中科院心理研究所在去年年底的《智能手机用户对手机安全威胁的感知与应对行为》调研,有超过一成用户不知道手机病毒的存在、超过三成用户对手机病毒并不感到担忧,这对手机智能平台恶意代码的传播提供了契机。
目前,国内存在多家第三方Android应用市场和不少手机论坛,它们为用户提供便捷的同时,也对手机安全埋下了不小的隐患。此次ADRD木马以及不久前的Geinimi木马,均通过第三方站点和论坛大量传播。安天建议用户仅从官方站点或可信任的应用市场下载手机软件,以避免受害。
此外,在软件的安装过程中,用户还应注意其需要的权限,如果有明显不合理的权限要求,应谨慎予以对待。例如,壁纸类软件正常情况下不需要任何权限,如果有访问手机信息、访问网络等要求,就应选择拒绝安装(图3)。
图3 ADRD木马需要多项系统权限
评论 {{userinfo.comments}}
{{child.content}}
{{question.question}}
提交