Android手機用戶獲取應用軟體的模式無非幾種,一種是透過官方電子市場下載安裝,另一種就是透過中國國內各種論壇和第三方軟體商店獲取應用,但是你知道第二種模式中存在有很大的風險嗎?很可能你的手機就成為了僵屍網路的一部分。
威脅︰
移動安全團隊Lookout近日發佈了一則安全警報,他們監測到代號為“Geinimi”的木馬近日在中國頻繁出現,這種木馬將會危及到手機中的大量個人數據並將其發送到遠程伺服器。
這是目前為止發現的最複雜的Android惡意軟體,Geinimi也是第一款Android平台被曝光的類僵屍網路惡意軟體,一旦在手機上成功安裝,Geinimi將會開啟後門接受遠程伺服器的命令,並對手機進行控制。
Geinimi的傳播模式主要透過對Android手機軟體APK安裝包的重新編輯,將代碼植入到安裝包當中,然後透過論壇或者第三方軟體商店進行推展。動過手腳的遊戲和應用相比正常的版本,在安裝時會要求授予更多的權限,比如讀取私人訊息、發送短信、打電話等等。
目前這一系列的Geinimi木馬真實目的還不完全清楚,有可能是收集用戶訊息、刷取惡意流量,或者是識圖搭建一個Android僵屍網路。
工作原理︰
當手機安裝的應用程式中Geinimi惡意代碼之後,木馬將會在手機的後台營運並收集大量的資料,包括用戶的隱私訊息等等,每五分鐘收集一次,並嘗試連接至遠程伺服器發送數據。
監測到的伺服器域名包括︰ www.widifu.com、www.udaore.com、www.frijd.com、www.islpast.com、www.piajesj.com等。
對Geinimi代碼進行分析之後,發現具備一下功能︰發送位置訊息、發送設備識別碼、下載並提示用戶安裝一個應用程式、提示用戶卸載一個應用程式、檢測已安裝的程式清單並發送至伺服器。
影響範圍︰
目前僅在第三方應用程式商店中發現了含有Geinimi木馬的軟體,在第三方商店中下載軟體需要開啟“不明來源”程式安裝功能,而Geinimi木馬正是鑽了這項空子。Google官方電子市場中並未發現有被Geinimi入侵的應用軟體。
現下已經證實加入Geinimi木馬並重新打包的應用套裝軟件括︰《超級猴子跳2》、《美國總統大戰外星人》、《城市防禦》、《棒球巨星2010》,預計其他被修改的軟體還有更多。目前這些軟體在官方電子市場中的原始版本並未收到影響。
另外在聯繫國內Android論壇機鋒網相關人員之後了解到,現下在論壇中也發現了不少經過修改植入後門的程式,例如近期出現的大批以“wl-”開頭的軟體,均出現有相比源程式多出發送短信的權限請求,有可能存在偷發付費短信的風險。機鋒網也在論壇中發佈了相關聲明和識別方法,幫助Android用戶降低風險。同時也證明,在國內出現的手機木馬中,不僅僅只有Geinimi這一種類別,還存在這許多的不法分子想從日益增多的Android用戶中獲取非法利益。
防身方法︰
1.只從信任的來源下載軟體,比如官方電子市場或者知名的論壇、第三方軟體商店,不過目前後兩者基本都不能保證完全不存在惡意軟體。下載之前一定要注意檢視開發者名稱、用戶評論、星級評定、發佈者名稱、發佈者級別等值得相信的訊息。
2.安裝程式時一定注意檢視該程式請求的權限,權限清單對應的扣費風險包括發送短信、撥打電話、連接網路等,隱私洩露風險包括訪問手機訊息、訪問聯繫人訊息等等,如果一款手機遊戲要求用你的手機打電話,完全可以拒絕安裝。
3.手機表現出的一些不正常現象,比如在你不知情的時候自動安裝程式、自動發送短信給未知收件人、自動撥打電話等等,這都可以證明你的手機已經成為僵屍網路的一部分,立即卸載相關被感染的軟體。
Geinimi Trojan Technical Analysis
內文搜尋
從 APP 打開
X