10月13, 2014

短信蠕虫Selfmite.B分析报告

作者:张昊

一、 概述

近日,国外安全厂商发现了伪装成Google Plus应用的短信蠕虫家族Selfmite的最新变种Selfmite.B,其主要危害有:

  • 读取联系人列表,并根据云端配置向联系人发送短信

  • 上传联系人列表

  • 嵌入AdMob广告

  • 打开浏览器访问指定网页链接刷取流量

  • 私自向桌面创建多个快捷方式图标

  • 后台联网发送木马报活消息

  • 通知栏推送广告

  • 激活设备管理器自我保护

  • 运行手机中的Google Play App

与早期的Selfmite.A相比,Selfmite.B攻击手段更隐蔽、传播范围更广、危害更大。

目前360手机卫士已经可以全面查杀。

image1

二、 Selfmite家族对比分析

1、Selfmite.A

该家族样本于今年6月首次被发现,其主要恶意行为是遍历联系人并且向前20名联系人发送一个恶意链接(如图一)。

image2

图一

通过代码分析我们可以发现早期的样本恶意链接是固定写在代码中的。 2、Selfmite.B 与Selfmite.A相比,Selfmite.B的短信内容和触发时间完全由远程服务器指令控制。我们从代码分析中发现Selfmite.B会向所有联系人发送短信,并且通过对网络数据的分析,该变种会向远程服务器请求指令,远程服务器会返回发送的短信内容,自身传播的恶意短网址链接以及其他配置信息等内容(如图二)。虽然目前的短网址链接已经失效,但是如果服务器指令更新,Selfmite.B依然可以达到攻击效果。

image3

图二

另外与Selfmite.A相比,新变种还有一些其他行为:

l 上传联系人列表

l 嵌入AdMob广告

l 打开浏览器访问指定网页链接刷取流量

l 私自向桌面创建多个快捷方式图标

l 后台联网发送木马报活消息

l 通知栏推送广告

l 激活设备管理器自我保护

l 运行手机中的Google Play App

以上这些行为中,我们在测试点击Selfmite.B创建的桌面图标时未能打开相应的页面,根据国外厂商的描述点击后会根据不同国家地区IP,执行打开指定网页或下载第三方软件操作。

三、 小结

继今年“XX神器”短信蠕虫病毒在国内大规模爆发之后,依靠群发短信链接传播的这类手机病毒不得不引起人们的重视。其实这种传播方式的恶意样本早在2012年已经出现,这里列举了一些具有相似行为的病毒家族出现时间,如下表一

image9

表一

     360互联网安全中心建议,用户不要轻易点击未知的短信链接下载安装软件,同时安装360手机卫士等安全软件开启主动防御功能,能有效的阻止此类攻击的发生。

本文链接:http://blogs.360.cn/post/analysis_of_selfmite_b.html

-- EOF --

Comments