趋势科技最近分析了手机病毒DroidKungFu的最新变种:ANDROIDOS_KUNGFU.CI。当我们监控ANDROIDOS_KUNGFU.CI与远程服务器之间的网络通讯时,偶然看到了一个删除特定软件的指令。
在上图所示的指令中,服务器正在指示恶意软件删除一个名为com.practical.share的软件。趋势科技以前也遇到过其他会发送指令的服务器,但以往的指令更多的是用于更新恶意软件的代码、安装其他软件(APK),或者打开指定的网址。
随后趋势科技研究了一下这个软件,发现被删除的是一个新的DroidDreamLight变种。DroidDreamLight家族产品最著名的特点就是会发送通知信息,而这也是其社交工程陷阱的一部分。诱骗用户点击通知信息,随后就会下载其他恶意软件,或自动进行更新。
这个DroidDreamLight变种被命名为ANDROIDOS_DORDRAE.O,当手机启动或是接打电话时,就会启动一个名为“SystemConfService”的服务,该服务会和老版本一样上传信息。
为了看到这个恶意软件所产生的通知信息,我架设了一个网页服务器,修改模拟器的网络参数,让恶意软件可以与它建立联系,借此进行测试。根据对程序代码的分析,该恶意软件会定期从服务器接收到类似下图所示的XML文件:
该恶意软件会显示四种类型的通知信息:
更新
这个通知信息可用于更新恶意软件。当用户点击更新通知后,手机会显示对话框询问用户是否要替代现有应用程序。如果用户选择“是”,就会继续安装,而要安装的程序文件在显示通知之前就已经被恶意软件预先下载完成了。
下载 – 当用户点击下载通知后,手机会访问恶意软件所指定服务器上的特定文件。
市场 – 当用户点击市场通知后,恶意软件会显示服务器所指定软件在应用市场中的页面。
网页 – 当用户点击网页通知后,恶意软件会连到服务器所指定的网址。
下面是来自该恶意软件的通知信息样本。当然,恶意软件的服务器会使用不同的标题和描述,而且也不会同时发送不同类型的通知,以避免被怀疑。
用户如果想检查自己的手机是否被感染了这个病毒,可以到“设置>应用程序>正在运行的服务”中检查是否存在“SystemConfService”这个服务。
如果有的话,用户可以手工删除恶意软件,为此请进入“设置>应用程序>管理应用程序”,并在这里删除有问题的应用程序:
文中提到的DroidKungFu和DroidDreamLight变种分别被命名为ANDROIDOS_KUNGFU.CI和ANDROIDOS_DORDRAE.O。