发现

近期，我们发现了一批新型蠕虫木马，该木马不需要任何隐私权限，利用可穿戴设备扩展功能针对WhatsApp用户发送蠕虫链接。进一步分析，我们发现该木马实现原理可以针对所有实现了将可穿戴设备扩展添加到通知中的应用。由于将可穿戴扩展添加到通知中的功能在Android 5.0开始被提供使用，因此大约94.1%的Android设备受此蠕虫木马影响。

分析

蠕虫木马执行流程如下图所示：

图1 流程图

蠕虫木马不需要申请任何获取隐私的权限，如下图所示：

图2 申请权限

蠕虫木马启动后连接云端获取蠕虫消息配置信息，并且跳转到通知使用权授权页面，诱导人工授予通知访问权。而后木马将会隐藏图标，在后台运行。

图3 启动后的代码

一旦用户接收到来自WhatsApp消息时，通知栏会弹出WhatsApp的消息，蠕虫木马将会取消WhatsApp消息通知并自动回复包含其自身下载链接的消息，达到进一步自我传播目的，其中自动回复的内容为云端下发的配置信息。

进一步分析，我们发现该蠕虫自我传播方式，利用了Android应用将可穿戴设备扩展，添加到通知消息的能力，因此该蠕虫自我传播方式如果被其他恶意开发者利用，则可能针对其他实现了将可穿戴设备扩展添加到通知消息的应用。

图4 关键代码

影响

Android 5.0系统开始正式提供了Notification.WearableExtender 的API，其主要功能是创建带有可穿戴设备扩展程序的通知消息。此次蠕虫木马正式利用了这一特性，实现了无需权限而自动回复的功能，我们认为受此次蠕虫木马影响的Android设备占比为94.1%，如下图所示。

图5 Android设备版本与占比

虽然此次蠕虫木马只针对了WhatsApp应用通知消息，但是所有实现了将可穿戴扩展添加到通知中的应用都可以被该蠕虫木马攻击，例如短信、Facebook Messenger、谷歌环聊、Telegram等IM应用。而国内的主流聊天、办公IM应用由于未实现此功能，因此暂时不受此次蠕虫攻击的影响。

建议

随着Android系统针对权限管理的进一步细分，Android系统也会更加安全，而一些恶意开发者总能通过Android的一些逻辑漏洞实现窃取用户隐私，此次蠕虫木马就是其中一例。我们提醒广大android用户，不要安装来历不明的应用，尽量通过官方网站和应用商店下载安装应用，如非必要不要给予应用通知使用权，如果手机已经出现异常情况，请及时安装杀毒软件查杀。

IOCs:

Md5:

121ab9f7c0f439274478099d9e550473

6a937e1fcaa5f8df3d2bf46e0871bb51

C&C:

https://settings.pw/new_settings.php

参考:

https://medium.com/@polidea/how-to-respond-to-any-messaging-notification-on-android-7befa483e2d7

https://developer.android.com/reference/android/app/Notification.WearableExtender