一、 基本信息病毒名称:Trojan/Android.BgServ.a
病毒别名:Fake10086
病毒类型:木马
样本MD5:4E70ABE0AE8A557F6623995BEF1D9BA7
样本CRC32:9ED70AE2
样本长度:98,684 字节
出现时间:2011.03.09
感染系统:Android 1.6及以上
二、 概述
2011年3月3日,Android官方应用市场上出现五十余款应用程序被植入恶意代码Trojan/Android.Rootcager(又名DroidDream)。Google随即清理了这些应用程序、删除了相关账号,并远程向被攻击手机发送名为Android Market Security Tool(软件包名com.android.vending.sectool.v1)的安全检查工具,以清除恶意代码。
3月9日,国内部分软件下载站和第三方应用市场出现被植入新木马的Android Market Security Tool,该木马具有向控制服务器发送手机隐私信息、发送扣费短信、拦截中国移动和中国联通客服短信等能力。经分析,木马的攻击代码利用了发布在Google Code的一份开源代码mmsbg。
安天实验室再次呼吁广大Android手机用户,为避免隐私泄露和财产损失,请勿从不可信来源下载安装手机软件,应尽量从软件开发者官网和Android官方市场下载。三、 样本特征
样本由两部分组成:
1.Android市场安全工具(com.android.vending.sectool.v1)
2.恶意代码BgServ(com.mms.bg)相比于正常的Android 市场安全工具,恶意代码增加了下列权限要求:
• android.permission.RECEIVE_SMS:接收短信
• android.permission.SEND_SMS:发送短信
• android.permission.ACCESS_FINE_LOCATION:通过GPS获取精确地理位置
• android.permission.ACCESS_COARSE_LOCATION:通过网络获取大概位置
• android.permission.ACCESS_NETWORK_STATE:查询网络查询
• android.permission.CHANGE_NETWORK_STATE:更改网络连接
• android.permission.WRITE_EXTERNAL_STORAGE:修改/删除SD卡中的内容
• android.permission.WAKE_LOCK:防止手机休眠
图1 正常软件所需权限
图2 恶意代码所需权限
恶意代码的启动Activity为com.mms.bg.ui.FakeLanucherActivity,并将自身显示在手机的程序列表(Launcher)中。此外,它开启下列接收器:
• com.mms.bg.transaction.SmsReceiver:发送短信时触发;
• com.mms.bg.transaction.PrivilegedSmsReceiver:接收短信时触发,并具有最高执行优先权;
• com.mms.bg.ui.BootReceiver:手机开机后触发;
• com.mms.bg.ui.AutoSMSRecevier:自定义活动com.mms.bg.SMS触发;
• com.mms.bg.ui.InternetStatusReceiver:网络连接发生改变时触发;
• com.mms.bg.ui.BgService:自定义活动com.mms.bg.FILTER_ACTION触发。
样本代码反编译结果与发布在Google Code的一份源码及其类似,后者名为mmsbg,作者为sgq116300,项目地址是:
http://code.google.com/p/mmsbg/
从2010年12月1日最初上传,至本报告发布之日,这份源码一直保持活跃地更新。在对样本反编译结果进行细粒度检查后,我们认为其复用了这份mmsbg代码。
图3 样本与mmsbg的源码结构完全一致
样本(及mmsbg代码)判断网络连接时,使用cmwap、cmnet作为默认连接名称;对号码为10086和10010的短信进行拦截。其攻击目标直指中国大陆的Android用户。这是继点击鬼影后又一个专门针对国内用户的Android木马。
样本具有搜集用户手机IMEI码、电话号码、系统版本号等能力,并将其发送到下列网址:
http://www.youlubg.com:81/Coop/request3.php 但在对样本的动态行为监控中,目前还没有发现实际产生网络连接。
图4 搜集手机信息
此外,样本将拦截号码为10086和10010的短信。
图5 拦截10086和10010的短信
我们将对样本进行做进一步分析。
四、 检测和清除方法
图6 样本启动BgService服务
用户可以通过以下方法判断是否感染BgServ木马:
- 打开应用程序列表,查看是否存在名为“Android Market Security Tool”的程序图标。Google远程安装的正常工具不出现在该列表中,而恶意代码存在。
- 通过“设置”→“应用程序”→“正在运行的服务”,查看是否有名为BgService的服务正在运行(图1 )。
- 通过“设置”→“应用程序”→“管理应用程序”,若存在Android Market Security Tool,单击查看其是否要求本分析报告中所指出的额外权限。
若已经感染该木马,可以在“管理应用程序”中单击Android Market Security Tool,依次选择“强行停止”、“卸载”,将其彻底清除。 五、 总结
进入2011年以来,Android手机平台出现多起重大安全事件。一方面是出于Android市场占有率飞速扩大,用户越来越多;另一方面,则与系统本身的开放性有关。Android应用市场的开放性是一把双刃剑,它以此获得大量开发者和应用软件,但又因此成为最容易被攻击的目标。
在之前的Rootcager(DroidDream)事件中,Google作出了一个大厂商应有的风范,在其能力范围内挽救了用户损失。目前,Android安全的短板出现在了第三方市场和用户之中。绝大部分恶意软件依然通过论坛、下载站、第三方市场传播,并被Android用户下载安装。然而,以往和这次的经验表明,用户可以采取简单地行动来有效地保障隐私和财产不被恶意侵犯——不从非官方站点下载和安装应用软件。 |
发表于 2011-3-31 10:52
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡