11月05, 2014

Dialer木马分析报告

作者:张佳杰 最近国外安全厂商发现了一款可导致手机系统软件功能无法正常使用的恶意样本。该木马伪装成一个色情软件,安装后会在桌面会出现生成一个透明图标,用户点击后,会出现一个程序异常的提示,然后退出软件,这时软件的透明图标会自动消失。木马就神不知鬼不觉地潜伏在手机里,在后台监控用户对于系统软件的操作,使得用户尝试进入系统设置,任务管理器,执行系统安装和卸载等动作都会失效,并自动跳转到手机桌面,造成木马无法在正常环境下卸载,同时在用户未知情况下私自拨打电话,删除通话记录,上传用户数据到服务器。

image1

主要恶意行为:

一、使用透明图标,隐蔽性强,点击运行后图标自动隐藏,不易被发现。

image2

二、自我保护能力强大,监控部分系统软件的Activity,当发现这些Activity在顶层时,强行返回到系统桌面,使的木马难以正常卸载,并影响手机的正常功能使用,同时,我们发现这个监控线程在锁屏再开启以后会失效,监控的Activity有: - com.android.packageinstaller.UninstallerActivity - com.sec.android.app.controlpanel.activity.JobManagerActivity - com.android.settings.SubSettings - com.android.settings.applications.RunningServiceDetails - com.android.settings.RunningServices - com.android.settings.ManageApplications - com.android.settings.applications.InstalledAppDetails - com.android.packageinstaller.PackageInstallerActivity

image3

三、后台联网窃取用户手机隐私(运营商,手机型号,所在国家等用户数据)

image4

image5

四、在用户未知情况下拨打指定号码803402470,并删除通话记录

image6

建议:

目前360手机卫士可全面查杀该木马,在手机已Root的情况下,可使用360手机卫士一键清除该木马;在手机未Root的情况下,可以利用木马本身的缺陷,先锁屏再开启屏幕,然后使用360手机卫士清除;当然也可以直接使用360系统急救箱安卓手机顽固木马专杀(http://www.360.cn/jijiuxiang/)彻底清除。 360互联网安全中心建议,用户在下载手机软件时最好到360手机助手等安全可靠的正规应市场或者官方网站下载,同时安装360手机卫士等安全防护软件,全面保障手机的安全。

本文链接:http://blogs.360.cn/post/analysis_of_dialer.html

-- EOF --

Comments