Android木马BgServ分析报告

Android木马BgServ分析报告

出处：安天实验室 时间：2011年3月11日

( PDF报告下载 ) {PDF文档阅读软件下载}

一、 基本信息病毒名称：Trojan/Android.BgServ.a 病毒别名：Fake10086 病毒类型：木马 样本MD5：4E70ABE0AE8A557F6623995BEF1D9BA7 样本CRC32：9ED70AE2 样本长度：98,684 字节 出现时间：2011.03.09 感染系统：Android 1.6及以上 二、 概述     2011年3月3日，Android官方应用市场上出现五十余款应用程序被植入恶意代码Trojan/Android.Rootcager（又名DroidDream）。Google随即清理了这些应用程序、删除了相关账号，并远程向被攻击手机发送名为Android Market Security Tool（软件包名com.android.vending.sectool.v1）的安全检查工具，以清除恶意代码。     3月9日，国内部分软件下载站和第三方应用市场出现被植入新木马的Android Market Security Tool，该木马具有向控制服务器发送手机隐私信息、发送扣费短信、拦截中国移动和中国联通客服短信等能力。经分析，木马的攻击代码利用了发布在Google Code的一份开源代码mmsbg。     安天实验室再次呼吁广大Android手机用户，为避免隐私泄露和财产损失，请勿从不可信来源下载安装手机软件，应尽量从软件开发者官网和Android官方市场下载。三、 样本特征 样本由两部分组成： 1.Android市场安全工具（com.android.vending.sectool.v1） 2.恶意代码BgServ（com.mms.bg）相比于正常的Android 市场安全工具，恶意代码增加了下列权限要求： • android.permission.RECEIVE_SMS：接收短信 • android.permission.SEND_SMS：发送短信 • android.permission.ACCESS_FINE_LOCATION：通过GPS获取精确地理位置 • android.permission.ACCESS_COARSE_LOCATION：通过网络获取大概位置 • android.permission.ACCESS_NETWORK_STATE：查询网络查询 • android.permission.CHANGE_NETWORK_STATE：更改网络连接 • android.permission.WRITE_EXTERNAL_STORAGE：修改/删除SD卡中的内容 • android.permission.WAKE_LOCK：防止手机休眠 图1  正常软件所需权限 图2  恶意代码所需权限     恶意代码的启动Activity为com.mms.bg.ui.FakeLanucherActivity，并将自身显示在手机的程序列表（Launcher）中。此外，它开启下列接收器： • com.mms.bg.transaction.SmsReceiver：发送短信时触发； • com.mms.bg.transaction.PrivilegedSmsReceiver：接收短信时触发，并具有最高执行优先权； • com.mms.bg.ui.BootReceiver：手机开机后触发； • com.mms.bg.ui.AutoSMSRecevier：自定义活动com.mms.bg.SMS触发； • com.mms.bg.ui.InternetStatusReceiver：网络连接发生改变时触发； • com.mms.bg.ui.BgService：自定义活动com.mms.bg.FILTER_ACTION触发。     样本代码反编译结果与发布在Google Code的一份源码及其类似，后者名为mmsbg，作者为sgq116300，项目地址是： http://code.google.com/p/mmsbg/     从2010年12月1日最初上传，至本报告发布之日，这份源码一直保持活跃地更新。在对样本反编译结果进行细粒度检查后，我们认为其复用了这份mmsbg代码。 图3  样本与mmsbg的源码结构完全一致     样本（及mmsbg代码）判断网络连接时，使用cmwap、cmnet作为默认连接名称；对号码为10086和10010的短信进行拦截。其攻击目标直指中国大陆的Android用户。这是继点击鬼影后又一个专门针对国内用户的Android木马。     样本具有搜集用户手机IMEI码、电话号码、系统版本号等能力，并将其发送到下列网址： http://www.youlubg.com:81/Coop/request3.php     但在对样本的动态行为监控中，目前还没有发现实际产生网络连接。 图4  搜集手机信息 此外，样本将拦截号码为10086和10010的短信。 图5  拦截10086和10010的短信 我们将对样本进行做进一步分析。 四、 检测和清除方法 图6   样本启动BgService服务 用户可以通过以下方法判断是否感染BgServ木马： 打开应用程序列表，查看是否存在名为“Android Market Security Tool”的程序图标。Google远程安装的正常工具不出现在该列表中，而恶意代码存在。 通过“设置”→“应用程序”→“正在运行的服务”，查看是否有名为BgService的服务正在运行（图1 ）。 通过“设置”→“应用程序”→“管理应用程序”，若存在Android Market Security Tool，单击查看其是否要求本分析报告中所指出的额外权限。     若已经感染该木马，可以在“管理应用程序”中单击Android Market Security Tool，依次选择“强行停止”、“卸载”，将其彻底清除。 五、 总结     进入2011年以来，Android手机平台出现多起重大安全事件。一方面是出于Android市场占有率飞速扩大，用户越来越多；另一方面，则与系统本身的开放性有关。Android应用市场的开放性是一把双刃剑，它以此获得大量开发者和应用软件，但又因此成为最容易被攻击的目标。     在之前的Rootcager（DroidDream）事件中，Google作出了一个大厂商应有的风范，在其能力范围内挽救了用户损失。目前，Android安全的短板出现在了第三方市场和用户之中。绝大部分恶意软件依然通过论坛、下载站、第三方市场传播，并被Android用户下载安装。然而，以往和这次的经验表明，用户可以采取简单地行动来有效地保障隐私和财产不被恶意侵犯——不从非官方站点下载和安装应用软件。