|
尊敬的用户:
您好!
趋势科技中国在此通知您:
请密切关注安卓木马ANDROIDOS_OBAD
趋势科技发现会隐身的安卓木马ANDROIDOS_OBAD,该木马可通过论坛、Wi-Fi以及蓝牙等方式传播,会攻击安卓系统漏洞,一旦安装成功将会拥有设备管理员的权限,黑客将可完全掌控感染手机,肆意窃取手机信息、订购高额付费服务,并可能操控手机下载更多恶意软件。请用户密切关注。
病毒家族名称:ANDROIDOS_OBAD
类似病毒名称:ANDROIDOS_JIFAKE
恶意行为:
ANDROIDOS_OBAD具备“隐形”以及“防止被移除”的功能,当用户启动该木马后,会被要求授予手机root以及设备管理员等权限,使用者若不同意,只要开启设备就会不停跳出要求用户同意的窗口;一旦取得手机的设备管理员权限,它可以在手机桌面和设备管理员管理画面上隐藏且无法被删除,在未解除管理员权限的情况之下,用户或是信息安全软件将无法清除该木马程序。
图一:ANDROIDOS_OBAD木马程序一旦被安装,
将会不停发送要求使用者同意其取得设备管理员的信息。
图二:ANDROIDOS_OBAD木马程序一旦取得手机的设备管理员权限,
可自行隐藏,使一般使用者无法察觉,降低其遭删除的可能性。
一种新的模糊技术:
该应用的Dalvik代码使用了一种新的模糊处理方式:几乎每一个类文件都有独特、嵌入式混淆的解密程序。这意味着当应用运行时,每个字符串和函数的调用必须先进行解密。加密代码的某些部分(如字符串常量)会被加密多次。目前的反编译器不能正确分析执行顺序。
经分析发现的其它恶意行为:
l
隐藏桌面启动器,并作为具有最高优先级的后台服务运行。
l
自动尝试打开Wi-Fi连接,并连接到远程服务器上(http://www.{BLOCKED}ofox.com/
load.php)。
l
收集用户的联系人,通话记录,短信收件箱和已安装的应用。
l
下载、安装和卸载应用(以root权限运行,可以在用户不知情的情况下进行)。
l
通过蓝牙向其它手机散播恶意软件。
处理措施:
针对此类木马,趋势科技已在Google Play上发布免费工具“Hidden
Device Admin Detector app”,可协助使用者解除被占用的手机管理员权限,一旦使用者完成解除操作后,PC-cillin 2013及趋势科技移动安全软件将可协助清除此类木马。
l
免费Hidden Device Admin Detector app下载网址:
https://play.google.com/store/apps/details?id=com.trendmicro.mtrt.hiddenDAcleaner
l
PC-cillin 2013免费试用版:
http://www.trendmicro.com.cn/pccillin/index.html
l
趋势科技移动安全软件免费版:
http://www.trendmicro.com.cn/pccillin/mobile-security-for-android.html
趋势科技相关blog:
http://blog.trendmicro.com/trendlabs-security-intelligence/cybercriminals-improve-android-malware-stealth-routines-
with-obad/
http://blog.trendmicro.com/trendlabs-security-intelligence/detecting-hidden-administrator-apps-on-your-device/
|
