AVG揭露"畫(huà)皮之術(shù)"美色當(dāng)前看好錢包

    一旦用戶選擇了安裝，將彈出激活設(shè)備管理器的對(duì)話框，病毒作者對(duì)其編寫(xiě)的“Android系統(tǒng)服務(wù)”描述為：“推薦激活系統(tǒng)服務(wù)，系統(tǒng)服務(wù)可以幫您的最大程度的節(jié)省電量”。

    如果用戶試圖選擇取消，對(duì)不起，它還將繼續(xù)強(qiáng)制彈出這個(gè)對(duì)話框，直到用戶選擇了“激活”為止：

    程序中還對(duì)某些可能對(duì)其造成被卸載或被停止等威脅的情況進(jìn)行了處理，當(dāng)進(jìn)入以下界面后，將強(qiáng)制彈回至系統(tǒng)首頁(yè)：

    1、查看病毒的詳細(xì)安裝信息。
    2、查看設(shè)備管理器。
    3、進(jìn)入國(guó)內(nèi)某手機(jī)安全軟件的一鍵加速界面。

    Payload位于壁紙安裝包的資源文件夾內(nèi)文件名為“a33.jpg”，企圖偽裝成圖片文件，實(shí)質(zhì)為APK安裝包，包名“android.phone.com”

    具有以下權(quán)限:

    android.permission.RECEIVE_BOOT_COMPLETED"
    android.permission.RECEIVE_SMS
    android.permission.SEND_SMS
    android.permission.READ_SMS
    android.permission.WRITE_SMS
    android.permission.INTERNET
    android.permission.ACCESS_NETWORK_STATE
    android.permission.READ_PHONE_STATE
    android.permission.ACCESS_WIFI_STATE
    android.permission.READ_LOGS
    android.permission.KILL_BACKGROUND_PROCESSES
    android.permission.RESTART_PACKAGES
    android.permission.GET_TASKS

    這些權(quán)限將被用于收發(fā)、讀寫(xiě)短信，自我保護(hù)，獲取系統(tǒng)信息等功用。

    下列代碼展示了其獲取系統(tǒng)信息的功能，包含了手機(jī)型號(hào)、系統(tǒng)版本、語(yǔ)言、網(wǎng)絡(luò)狀態(tài)、是否ROOT等：

    mActivityManager = (ActivityManager)getSystemService("activity");
getRunningServiceInfo();
    Collections.sort(serviceInfoList, new comparatorServiceLable(null));
    obj = (TelephonyManager)getSystemService("phone");
    s5 = (new StringBuilder()).append(((TelephonyManager) (obj)).getDeviceId()).toString();
    s2 = (new StringBuilder()).append(((TelephonyManager) (obj)).getSimSerialNumber()).toString();
    obj2 = (new StringBuilder()).append(android.provider.Settings.Secure.getString(getContentResolver(), "android_id")).toString();
    obj2 = new UUID(((String) (obj2)).hashCode(), (long)s5.hashCode() << 32 | (long)s2.hashCode());
    ((UUID) (obj2)).toString();
    ((TelephonyManager) (obj)).getSubscriberId();
    ((TelephonyManager) (obj)).getLine1Number();
    Build.MODEL;
    ((WifiManager)getSystemService("wifi")).getConnectionInfo().getMacAddress();
    ((TelephonyManager) (obj)).getSimCountryIso();

    此病毒一改以往的網(wǎng)絡(luò)C&C服務(wù)器控制方式，采用全程短信控制，病毒作者目前使用的手機(jī)號(hào)為“+8613093632006”，來(lái)自安徽省中國(guó)聯(lián)通。

    采用配置文件對(duì)惡意軟件行為進(jìn)行控制，配置文件含有D、K、zdh，三個(gè)字段，分別表示了服務(wù)端號(hào)碼（手機(jī)號(hào)）、關(guān)鍵字等。使用S、J、M、con、rep、E、xgh、xgnr等字段進(jìn)行配置文件升級(jí)、短信發(fā)送、偽造等功能。

    配置文件內(nèi)容：
 <?xml version=''1.0'' encoding=''utf-8''?>
<up>
  <H>
    <D>13093632006</D>
  </H>
  <K>
    <n>轉(zhuǎn)</n>
    <n>卡號(hào)</n>
    <n>姓名</n>
    <n>行</n>
    <n>元</n>
    <n>匯</n>
    <n>款</n>
    <n>hello</n>
  </K>
  <A>
    <zdh>10</zdh>
  </A>
</up>

    說(shuō)了這么多細(xì)節(jié)，病毒作者到底能通過(guò)這些下流手段獲得什么呢？

    1、通過(guò)靈活配置短信，攔截短信、偽造短信，利用手機(jī)話費(fèi)進(jìn)行消費(fèi)。
    2、獲取銀行卡號(hào)，姓名等信息，且取款密碼同時(shí)在短信中泄露，或密碼為生日等弱口令，將有可能被其利用，例如：如果用戶開(kāi)通了網(wǎng)上銀行且開(kāi)通了手機(jī)支付，可利用網(wǎng)銀進(jìn)行消費(fèi)。
    3、獲取用戶大量隱私信息，可針對(duì)某位用戶或某類用戶進(jìn)行定向釣魚(yú)欺騙，謀求更多獲利的可能性。

    可以看出，此類病毒對(duì)用戶的危害巨大，通過(guò)上面的分析，我們可以發(fā)現(xiàn)，病毒作者主要利用了兩種手段，一為誘惑，二為欺騙，希望大家都可以做到：耐得住寂寞 ，經(jīng)得起誘惑。

    撕掉惡鬼的畫(huà)皮后，為了幫助大家建立良好的手機(jī)安全防范意識(shí)，下面為大家提供幾條建議：

    1、對(duì)于這類無(wú)實(shí)際意義且明顯帶有誘惑性質(zhì)的應(yīng)用，應(yīng)小心安裝。
    2、論壇內(nèi)里魚(yú)龍混雜，應(yīng)用的安全性要小于第三方市場(chǎng)，而第三方市場(chǎng)的安全性，又小于官方市場(chǎng)，應(yīng)謹(jǐn)慎識(shí)別、安裝。
    3、培養(yǎng)自己的軟件使用安全意識(shí)，經(jīng)常閱讀AVG手機(jī)安全軟件的報(bào)告，可以幫助您建立起這種意識(shí)。
    4、除了國(guó)內(nèi)常見(jiàn)的手機(jī)安全輔助工具，可同時(shí)安裝一款全球知名的專注于反病毒的手機(jī)安全軟件。■

 <