时间:2014-07-03 13:23:24 来源: 复制分享
Android手机用户获取应用软件的方式无非有两种,一种是通过官方电子市场下载安装,另一种就是通过国内各种论坛和第三方软件商店获取应用,但是你知道第二种方式中存在有很大的风险么?很可能你的手机就成为了僵尸网络的一部分。
威胁:
移动安全团队Lookout近日发布了一则安全警报,他们监测到代号为“Geinimi”的木马近日在中国频繁出现,这种木马将会危及到手机中的大量个人数据并将其发送到远程服务器。
这是目前为止发现的最复杂的Android恶意软件,Geinimi也是第一款Android平台被曝光的类僵尸网络恶意软件,一旦在手机上成功安装,Geinimi将会开启后门接受远程服务器的命令,并对手机进行控制。
Geinimi的传播方式主要通过对Android手机软件APK安装包的重新编辑,将代码植入到安装包当中,然后通过论坛或者第三方软件商店进行推广。动过手脚的游戏和应用相比正常的版本,在安装时会要求授予更多的权限,比如读取私人信息、发送短信、打电话等等。
目前这一系列的Geinimi木马真实目的还不完全清楚,有可能是收集用户信息、刷取恶意流量,或者是识图搭建一个Android僵尸网络。
工作原理:
当手机安装的应用程序中Geinimi恶意代码之后,木马将会在手机的后台运行并收集大量的资料,包括用户的隐私信息等等,每五分钟收集一次,并尝试连接至远程服务器发送数据。
监测到的服务器域名包括: www.widifu.com、www.udaore.com、www.frijd.com、www.islpast.com、www.piajesj.com等。
对Geinimi代码进行分析之后,发现具备一下功能:发送位置信息、发送设备识别码、下载并提示用户安装一个应用程序、提示用户卸载一个应用程序、检测已安装的程序列表并发送至服务器。
影响范围:
目前仅在第三方应用程序商店中发现了含有Geinimi木马的软件,在第三方商店中下载软件需要开启“不明来源”程序安装功能,而Geinimi木马正是钻了这项空子。Google官方电子市场中并未发现有被Geinimi入侵的应用软件。
现在已经证实加入Geinimi木马并重新打包的应用软件包括:《超级猴子跳2》、《美国总统大战外星人》、《城市防御》、《棒球巨星2010》,预计其他被修改的软件还有更多。目前这些软件在官方电子市场中的原始版本并未收到影响。
另外在联系国内Android论坛机锋网相关人员之后了解到,现在在论坛中也发现了不少经过修改植入后门的程序,例如近期出现的大批以“wl-”开头的软件,均出现有相比源程序多出发送短信的权限请求,有可能存在偷发付费短信的风险。机锋网也在论坛中发布了相关声明和识别方法,帮助Android用户降低风险。同时也证明,在国内出现的手机木马中,不仅仅只有Geinimi这一种类别,还存在这许多的不法分子想从日益增多的Android用户中获取非法利益。
防身方法:
1.只从信任的来源下载软件,比如官方电子市场或者知名的论坛、第三方软件商店,不过目前后两者基本都不能保证完全不存在恶意软件。下载之前一定要注意查看开发者名称、用户评论、星级评定、发布者名称、发布者级别等值得相信的信息。
2.安装程序时一定注意查看该程序请求的权限,权限列表对应的扣费风险包括发送短信、拨打电话、连接网络等,隐私泄露风险包括访问手机信息、访问联系人信息等等,如果一款手机游戏要求用你的手机打电话,完全可以拒绝安装。
3.手机表现出的一些不正常现象,比如在你不知情的时候自动安装程序、自动发送短信给未知收件人、自动拨打电话等等,这都可以证明你的手机已经成为僵尸网络的一部分,立即卸载相关被感染的软件。