安天发现新Android木马 目前已在国内大规模爆发

随着Android系统在智能手机市场占有率的飞速增长，这一平台也逐渐成为黑客的热门攻击目标。近日，安天实验室率先发现专门针对国内Android用户的一种新木马ADRD。统计结果显示，自1月27日首次出现至今，该木马已经在国内大范围辐射和传播。
这一木马被黑客植入到大量正常的应用程序（App）之中，尤其是系统壁纸类软件，从而避免出现在手机的应用程序面版上。其典型代表是国外一款名为“Live Prints Live Wallpaper”（中文名“动态脚印动态壁纸”）的合法软件，目前国内主流手机论坛和下载站点提供的安装程序均已被植入ADRD木马（图1）。

图1 正常软件和被植入ADRD木马软件的对比
根据安天对捕获样本的分析，ADRD木马获取手机的自启动权限、网络访问权限、通讯录与SD卡的访问权限等，并启动后台服务，将手机卡的IMEI/IMSI码加密后发送到两个指定服务器。随后，这两个控制服务器将向手机发送大量URL，木马服务从中随机选择并访问。最终，木马将在后台隐蔽地访问wap.baidu.com的一些特定搜索页面。
这一木马呈现出显著的中国特色。它通过名为”CMNET”、”CMWAP”、”UNINET”、”UNIWAP”的移动网络进行连接，这正是中国移动和中国联通的网络接入点名称。另一方面，控制服务器的多个域名均注册自湖北武汉。此外，最终访问的wap.baidu.com搜索结果也全部是中文关键词（图2）。

图2 ADRD访问中文关键词搜索页面
对用户而言，手机感染此木马后，将造成大量的网络访问行为，因此产生高额数据流量费用。而攻击者极有可能因为wap.baidu.com的搜索推广链接被点击而最终获益。
近年来，手机终端的安全威胁日益严重，手机病毒已经出现窃取用户手机号、联系人、地理位置等个人隐私、订阅SP服务、恶意扣费、访问恶意网址等威胁。然而，根据中科院心理研究所在去年年底的《智能手机用户对手机安全威胁的感知与应对行为》调研，有超过一成用户不知道手机病毒的存在、超过三成用户对手机病毒并不感到担忧，这对手机智能平台恶意代码的传播提供了契机。
目前，国内存在多家第三方Android应用市场和不少手机论坛，它们为用户提供便捷的同时，也对手机安全埋下了不小的隐患。此次ADRD木马以及不久前的Geinimi木马，均通过第三方站点和论坛大量传播。安天建议用户仅从官方站点或可信任的应用市场下载手机软件，以避免受害。
此外，在软件的安装过程中，用户还应注意其需要的权限，如果有明显不合理的权限要求，应谨慎予以对待。例如，壁纸类软件正常情况下不需要任何权限，如果有访问手机信息、访问网络等要求，就应选择拒绝安装（图3）。

图3 ADRD木马需要多项系统权限

回复 2# kevinhwm

目前发现的“动态脚印动态壁纸”这一被植入软件仅支持2.1和2.2系统。
不排除其他1.5版软件被植入的可能，建议只从官方下载软件，不要使用论坛附件或链接。