Android新木马“点击鬼影”（HongTouTou）肆虐 安天给出专杀工具

Android系统在智能手机市场占有率飞速增长，同时也成为新的热门攻击对象。近日，安天实验室率先发现专门针对国内Android用户的一款新木马“点击鬼影”（又名HongTouTou、ADRD）。统计显示，自2010年12月21日首次出现至今，“点击鬼影”已经在国内大范围传播，辐射范围达百万用户。
这一木马被植入“动态脚印动态壁纸”、“iReader”、“桌面时钟天气”、“炫彩方块动态壁纸”、“超级酷指南针”、“指纹解锁”、“Robo 3”等十余款常用软件之中（图1），并被攻击者在国内所有主流手机论坛发布。随后，有下载站转载了这一软件。

图1 正常软件和被植入木马的软件对比
根据安天对相关样本的分析，“点击鬼影”获取手机的开机启动权限、网络访问权限等，并启动后台服务。感染后，木马每6个小时将手机的IMEI、IMSI码加密后发送到指定的控制服务器服务器，从另一个服务器接收到30个URL，然后以每秒一个的速度访问这些URL，获得某搜索引擎的随机一个搜索结果页面地址，最后访问该地址。此外，“点击鬼影”还包含了自动更新的功能，但到目前为止，控制服务器尚未发出更新命令。
这一木马呈现出显著的中国特色。它通过判断手机APN配置信息是否为”CMNET”、”CMWAP”、”UNINET”、”UNIWAP”来判断网络连接类型，这正是中国移动和中国联通的网络接入点默认名称。另一方面，攻击中所涉及服务器均位于国内。此外，最终访问的wap.baidu.com搜索结果也都是中文关键词（图2）。

图2 木马访问中文关键词搜索页面
对用户而言，手机感染此木马后，将造成大量的网络访问行为，因此产生高额数据流量费用。而攻击者极有可能因为wap.baidu.com的搜索推广链接被点击而最终获益。
目前，安天实验室已经提供“点击鬼影”（HongTouTou、ADRD）的专杀工具AVL PK for Android（http://www.antiy.com/download/avlpk/AVLPK_for_Android_1.02.zip）。安装AVL PK for Android后，运行该专查工具，选择“开始检查”并等待。若出现“检测到Trojan/Android.Adrd”（图3），选择卸载相应的软件，即可彻底清除这一木马。此外，AVL PK for Android还能检测并清除目前流行的Geinimi木马。

图3 AVL PK for Android检测到“点击鬼影”木马
近几年，手机终端的安全威胁日益严重，手机病毒的传播方式和获利方式已经呈现出多样化趋势，恶意行为的隐蔽性也不断提高。另一方面，根据2010年10月中国科学院心理研究所的《智能手机用户对手机安全威胁的感知与应对行为》调研结果，有超过10%的用户不知道手机病毒的存在、超过三成用户对手机病毒完全未感到担忧。这为手机病毒的传播和攻击提供了很好的环境。
目前，国内存在多家第三方Android应用市场和大量手机论坛，它们在为用户提供便捷服务的同时，也埋下了巨大的安全隐患。此次“点击鬼影”以及不久前的“给你米”木马，均主要通过论坛和下载站传播。因此，安天建议用户仅从官方站点或可信任的应用市场下载手机软件，以避免受到手机病毒的危害。
此外，安装软件时，用户还应注意其申请的权限，如果有明显不合理的权限要求，应予以谨慎对待。例如，壁纸类软件正常情况下不需要任何特殊的系统权限，如果有访问手机信息、访问网络的要求，就应拒绝安装（图4）。
安天实验室《Android木马HongTouTou（又名ADRD）分析报告》 ：http://www.antiy.com/cn/security/2011/android_adrd_analysis.htm

图4 木马需要额外的系统权限