病毒以刷ROM传播 Android惊现刷机吸费大盗# PDA - 掌中宝
y*i
1 楼
http://digi.tech.qq.com/a/20110628/001045.htm
腾讯移动安全实验室6月28日播报,Android平台惊现刷机吸费大盗,刷机的机油们要警
惕了!现在Android病毒入侵到刷机ROM里了。腾讯移动安全实验室在率先拦截了近十款
的“X卧底”类的监听软件之后,现又从刷机ROM里截获了一个名为“刷机吸费大盗”的
Android手机病毒。该病毒最大特征是通过刷机ROM来传播,并能够智能分析SP业务确认
短信并自动进行二次确认,由于病毒进程名字与系统文件名相似,而且无任何安装图标
,因此不易被察觉。
据腾讯安全实验室分析人员的火力侦察,“刷机吸费大盗”具有以下五大特征:
1. 该病毒伪装为系统软件与进程,并且隐藏在刷机ROM里传播,用户一刷完带病毒的
ROM,系统自动就感染病毒了,非常可怕。
2. 该病毒安装完成后,本地会自动生成一个配置文件。配置文件包括病毒服务器地址
、扣费短信端口、拦截的短信属性以及何时触发扣费短信发送等信息。
3. 用户手机一旦从无联网状态切换到联网状态时,病毒就会向服务器发送IMEI、IMSI
和手机号码等信息并请求一个配置文件,如果请求成功则会替换原来的配置文件,同时
根据这些信息设置定时器,定时器的作用于控制扣费的时间。
4. 该病毒到了触发扣费短信的时间时,会在后台启动服务,向配置文件中的扣费短信
端口连续发送若干扣费短信,同时启动短信监听器,如果监听到有需要拦截的短信(即
SP业务确认短信)立即删除,并根据配置文件的选项决定是否回复短信。
由于一些运营商扣费确认短信需要用户再次返回短信中的动态码进行二次确认,该病毒
能够智能提取短信中的动态码进行回复。大家小心了,这些二次确认的业务大多数是包
月的,用户可能被偷偷定购了业务,每月都要被扣取业务费用。
5. 配置文件经常更新,所以扣费短信端口也会动态变化。
“刷机吸费大盗”的“智能化程度”明显高于此前出现的那些内置到游戏、应用中的木
马病毒。它根据Android用户喜欢自己刷机,更新ROM的特点,伪装成系统进程。可定时
激活病毒,定时发送扣费短信,拦截运营商回执短信,并且还能自动进行二次确认。还
可自动后台联网上传用户IMEI、IMSI和手机号码等信息,造成用户个人隐私的泄露。自
动更新配置文件,变换扣费短信端口,以逃避运营商检查。
腾讯移动安全实验室6月28日播报,Android平台惊现刷机吸费大盗,刷机的机油们要警
惕了!现在Android病毒入侵到刷机ROM里了。腾讯移动安全实验室在率先拦截了近十款
的“X卧底”类的监听软件之后,现又从刷机ROM里截获了一个名为“刷机吸费大盗”的
Android手机病毒。该病毒最大特征是通过刷机ROM来传播,并能够智能分析SP业务确认
短信并自动进行二次确认,由于病毒进程名字与系统文件名相似,而且无任何安装图标
,因此不易被察觉。
据腾讯安全实验室分析人员的火力侦察,“刷机吸费大盗”具有以下五大特征:
1. 该病毒伪装为系统软件与进程,并且隐藏在刷机ROM里传播,用户一刷完带病毒的
ROM,系统自动就感染病毒了,非常可怕。
2. 该病毒安装完成后,本地会自动生成一个配置文件。配置文件包括病毒服务器地址
、扣费短信端口、拦截的短信属性以及何时触发扣费短信发送等信息。
3. 用户手机一旦从无联网状态切换到联网状态时,病毒就会向服务器发送IMEI、IMSI
和手机号码等信息并请求一个配置文件,如果请求成功则会替换原来的配置文件,同时
根据这些信息设置定时器,定时器的作用于控制扣费的时间。
4. 该病毒到了触发扣费短信的时间时,会在后台启动服务,向配置文件中的扣费短信
端口连续发送若干扣费短信,同时启动短信监听器,如果监听到有需要拦截的短信(即
SP业务确认短信)立即删除,并根据配置文件的选项决定是否回复短信。
由于一些运营商扣费确认短信需要用户再次返回短信中的动态码进行二次确认,该病毒
能够智能提取短信中的动态码进行回复。大家小心了,这些二次确认的业务大多数是包
月的,用户可能被偷偷定购了业务,每月都要被扣取业务费用。
5. 配置文件经常更新,所以扣费短信端口也会动态变化。
“刷机吸费大盗”的“智能化程度”明显高于此前出现的那些内置到游戏、应用中的木
马病毒。它根据Android用户喜欢自己刷机,更新ROM的特点,伪装成系统进程。可定时
激活病毒,定时发送扣费短信,拦截运营商回执短信,并且还能自动进行二次确认。还
可自动后台联网上传用户IMEI、IMSI和手机号码等信息,造成用户个人隐私的泄露。自
动更新配置文件,变换扣费短信端口,以逃避运营商检查。