Android新木马“点击鬼影”(HongTouTou)肆虐 安天给出专杀工具
Android系统在智能手机市场占有率飞速增长,同时也成为新的热门攻击对象。近日,安天实验室率先发现专门针对国内Android用户的一款新木马“点击鬼影”(又名HongTouTou、ADRD)。统计显示,自2010年12月21日首次出现至今,“点击鬼影”已经在国内大范围传播,辐射范围达百万用户。这一木马被植入“动态脚印动态壁纸”、“iReader”、“桌面时钟天气”、“炫彩方块动态壁纸”、“超级酷指南针”、“指纹解锁”、“Robo 3”等十余款常用软件之中(图1),并被攻击者在国内所有主流手机论坛发布。随后,有下载站转载了这一软件。
图1 正常软件和被植入木马的软件对比
根据安天对相关样本的分析,“点击鬼影”获取手机的开机启动权限、网络访问权限等,并启动后台服务。感染后,木马每6个小时将手机的IMEI、IMSI码加密后发送到指定的控制服务器服务器,从另一个服务器接收到30个URL,然后以每秒一个的速度访问这些URL,获得某搜索引擎的随机一个搜索结果页面地址,最后访问该地址。此外,“点击鬼影”还包含了自动更新的功能,但到目前为止,控制服务器尚未发出更新命令。
这一木马呈现出显著的中国特色。它通过判断手机APN配置信息是否为”CMNET”、”CMWAP”、”UNINET”、”UNIWAP”来判断网络连接类型,这正是中国移动和中国联通的网络接入点默认名称。另一方面,攻击中所涉及服务器均位于国内。此外,最终访问的wap.baidu.com搜索结果也都是中文关键词(图2)。
图2 木马访问中文关键词搜索页面
对用户而言,手机感染此木马后,将造成大量的网络访问行为,因此产生高额数据流量费用。而攻击者极有可能因为wap.baidu.com的搜索推广链接被点击而最终获益。
目前,安天实验室已经提供“点击鬼影”(HongTouTou、ADRD)的专杀工具AVL PK for Android(http://www.antiy.com/download/avlpk/AVLPK_for_Android_1.02.zip)。安装AVL PK for Android后,运行该专查工具,选择“开始检查”并等待。若出现“检测到Trojan/Android.Adrd”(图3),选择卸载相应的软件,即可彻底清除这一木马。此外,AVL PK for Android还能检测并清除目前流行的Geinimi木马。
图3 AVL PK for Android检测到“点击鬼影”木马
近几年,手机终端的安全威胁日益严重,手机病毒的传播方式和获利方式已经呈现出多样化趋势,恶意行为的隐蔽性也不断提高。另一方面,根据2010年10月中国科学院心理研究所的《智能手机用户对手机安全威胁的感知与应对行为》调研结果,有超过10%的用户不知道手机病毒的存在、超过三成用户对手机病毒完全未感到担忧。这为手机病毒的传播和攻击提供了很好的环境。
目前,国内存在多家第三方Android应用市场和大量手机论坛,它们在为用户提供便捷服务的同时,也埋下了巨大的安全隐患。此次“点击鬼影”以及不久前的“给你米”木马,均主要通过论坛和下载站传播。因此,安天建议用户仅从官方站点或可信任的应用市场下载手机软件,以避免受到手机病毒的危害。
此外,安装软件时,用户还应注意其申请的权限,如果有明显不合理的权限要求,应予以谨慎对待。例如,壁纸类软件正常情况下不需要任何特殊的系统权限,如果有访问手机信息、访问网络的要求,就应拒绝安装(图4)。
安天实验室《Android木马HongTouTou(又名ADRD)分析报告》 :http://www.antiy.com/cn/security/2011/android_adrd_analysis.htm
图4 木马需要额外的系统权限
页:
[1]