近日，瑞星“云安全”系统拦截到一个名为“超级短信大盗”的手机病毒。瑞星安全专家介绍，该病毒基于Android系统，伪装成熟人发送的EXCEL资料文档，引诱网民下载点击。
            　　近日，瑞星“云安全”系统拦截到一个名为“超级短信大盗”的手机病毒。瑞星安全专家介绍，该病毒基于Android系统，伪装成熟人发送的EXCEL资料文档，引诱网民下载点击。病毒运行后会收集用户手机中的联系人列表及短信信息，并将这些内容上传至黑客指定地址。手机一旦中毒，将面临巨额资费消耗、隐私信息泄露、各类网络账号及网银账号被盗等风险。目前，永久免费的瑞星手机安全助手(下载地址http://pc.rising.com.cn/Android/)已可查杀该病毒，广大网民应尽快安装，以免遭受不必要的损失。

　　

       

 

　　图1：“超级短信大盗”伪装成EXCEL资料

　　

       

 

　　图2：瑞星手机安全助手拦截“超级短信大盗”

　　“超级短信大盗”伪装成熟人发来的“资料”迷惑网民，一旦被下载运行，该病毒就会收集本机号码、联系人列表及短信信息，并上传至黑客指定邮箱。此外，该病毒还会更改系统设置，并隐藏自身图标，普通网民无法使用正常方式将其卸载。另外，在解析病毒代码时瑞星工程师发现了黑客存放非法所得信息的地址，并于第一时间将该地址内的所有信息予以清除。

　　

       

 

　　图3：病毒向黑客指定地址上传的用户信息(已作清空处理)

　　瑞星安全专家指出，该病毒图标显示为EXCEL文档，具有较高的迷惑性。同时，病毒还会利用网民的手机向所有联系人群发带有病毒下载链接的恶意短信，由于是“熟人”发来的“资料”，多数人都会掉以轻心，因此该病毒具备极高的自我传播能力，网民应特别提高警惕。

　　针对上述情况，瑞星安全专家建议广大网民近期应做好以下防护工作：

　　1. 不轻信、不点击任何人使用短信发来的链接。如必须使用手机查看链接，应致电对方核实链接的内容后再进行操作。

　　2. 使用大型正规APP商店作为下载渠道，不从论坛或不正规的网站下载APP。

　　3. 安装专业的手机安全软件，没有手机安全软件的用户可以使用永久免费的瑞星手机安全助手(下载地址http://pc.rising.com.cn/Android/)，养成良好的使用习惯，定期为手机扫描体检，远离病毒威胁。

　　

       

 

　　一、病毒样本基本信息:

　　样本名称

　　病毒名称 超级短信大盗(a.privacy.emial.a)

　　包 名 cn.wWRWdnjj

　　SHA1 719e10f9459e882425786a0a380d3ddfad0cf3fc

　　MD5值 93f5e82f5d9a71b463703f45bad1f67d

　　Crc32 c49ad331

　　SHA-256 4a42cffb0df7e2ed1ddaef39298e52fa2a5d55b32c8b184b16d6d4c554d56147

　　文件大小 241 KB (246,830 字节)

　　签名证书 EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US

　　二、样本特征及传播方式：

　　该病毒伪装成正常软件诱导用户下载安装。安装运行后病毒会在后台私自发送指定内容的短信到指定号码、私自获取用户的短信息和联系人信息并回传至病毒作者的指定邮箱、运行后自动隐藏桌面启动图标、同时该病毒还会诱导用户激活系统设备管理器等，给用户造成严重的隐私泄露及资费消耗等的安全问题。

　　三、应用所需的敏感权限:

　　

       

 

　　启动方式为：开机自启动

　　

       

 

　　

       

 

　　四、四大组件运用：

　　Activities:

　　cn.wWRWdnjjent.MainActivity

　　cn.wWRWdnjjent.FX

　　cn.wWRWdnjjent.Uninstaller

　　cn.wWRWdnjjent.UninActivity

　　intent-filter action: android.intent.action.DELETE

　　intent-filter action: android.intent.action.VIEW

　　intent-filter category: android.intent.category.DEFAULT

　　cn.wWRWdnjjent.WebInterfaceActivity

　　cn.wWRWdnjjent.UninstallerActivity

　　intent-filter action: android.intent.action.DELETE

　　intent-filter action: android.intent.action.VIEW

　　intent-filter category: android.intent.category.DEFAULT

　　cn.wWRWdnjjent.ClientActivity

　　intent-filter category: android.intent.category.LAUNCHER

　　intent-filter action: android.intent.action.MAIN

　　com.shit.ComposeSmsActivity

　　intent-filter action: android.intent.action.SEND

　　intent-filter action: android.intent.action.SENDTO

　　intent-filter category: android.intent.category.DEFAULT

　　intent-filter category: android.intent.category.BROWSABLE

　　Service:

　　cn.wWRWdnjjent.HeadlessSmsSendService

　　cn.wWRWdnjjent.MyService

　　Broadcast Receivers:

　　cn.wWRWdnjjent.Dx

　　intent-filter action: android.app.action.DEVICE_ADMIN_ENABLED

　　cn.wWRWdnjjent.AlarmReceiver

　　intent-filter action: android.intent.action.BOOT_COMPLETED

　　cn.wWRWdnjjent.XReceiver

　　intent-filter action: android.provider.Telephony.SMS_RECEIVED

　　intent-filter category: android.intent.category.DEFAULT

　　intent-filter action: android.provider.Telephony.SMS_DELIVER

　　cn.wWRWdnjjent.BootReceiver

　　intent-filter action: android.intent.action.BOOT_COMPLETED

　　cn.wWRWdnjjent.MmsReceiver

　　intent-filter action: android.provider.Telephony.WAP_PUSH_DELIVER

　　静态分析：

　　一、代码级行为分析：

　　程序运行时分析：

　　该病毒通过伪装成正常软件“资料”的形式诱导用户安装

　　

       

 

　　安装运行后，病毒会自动获取用户的手机号码、短信收件箱等用户的隐私信息

　　

       

 

　　

       

 

　　

       

 

　　

       

 

　　同时私自发送安装成功的指令短信“6&865411020043025”到指定号码“183****2483”，并弹出诱导用户激活系统设备管理器的Activity界面，以实现用户正常将其卸载的目的。

　　

       

 

　　[关键代码]

　　

       

 

　　

       

 

　　待用户点击取消或激活后，程序弹出错误提示

　　

       

 

　　[关键代码]

　　

       

 

　　点击确定后发现，桌面启动图标已经被自动隐藏，且能通过系统应用程序列表找到

　　

       

 

　　

       

 

　　并且替换了系统的卸载程序组件，当用户卸载时会自动弹出病毒作者设计的卸载界面，其实根本就没有卸载其程序

　　

       

 

　　[关键代码]

　　

       

 

　　在解决前面的那些事情的同时，程序已经开始向用户的手机中保存的联系人群发短信了，短信的内容如下：

　　

       

 

　　并且，病毒作者有多个邮箱和多个下载地址，其不同的是，每个下载地址的后缀“*.apk”都不一样

　　例如：

　　http://laoa16888.com/5.apk

　　http://laoa16888.com/zze.apk

　　http://laoa16888.com/3.apk

　　........等等等

　　最后，病毒作者将获取到的用户短信息、用户的联系人等的各种信息，通过Email的方式发送到病毒作者的指定的邮箱中，且全部为163vip邮箱

　　

       

 

　　

       

 

　　目前已截获的四个病毒作者的邮箱分别为

　　“r******5@vip.163.com”、“r******6@vip.163.com”、“r******3@vip.163.com”、“r******8@vip.163.com”

　　

       

 

　　瑞星手机安全助手查杀截图：

　　目前，瑞星手机安全助手已可以全面查杀此病毒

　　

       

 

　　总结：

　　至此，这个手机病毒就基本分析完了，其主要特点就是通过短信的形式向用户手机联系人群发带恶意链接的短信，并让中招的手机用户点击链接下载安装病毒程序，以实现恶意短信扩散传播的目的，同时还会吸取大量用户的联系人信息并发送到病毒作者事先注册好的163vip邮箱中，给用户造成直接且严重的隐私泄露等的安全问题。

　　建议：

　　现在，Android智能系统的碎片化越来越严重混乱，安全管理方面也没有统一的强劲的管理制度，使得病毒越来越多。就目前来讲，在Android应用电子市场等领域里几乎就没有让用户安装放心、使用放心的应用程序。病毒作者在设计及开发病毒的时候利用的技术手段也越来越精妙，使得用户防不胜防。

　　建议用户在安装和使用软件时如发现手机中不明原因的增加新应用，一定要警惕是否存在该类型恶意软件。并且用户在使用Android智能设备时，一定要在设备中安装一些官方认证版本的安全监测工具，实时防护用户的智能设备不受到恶意程序及病毒的侵害。另外，如需安装一些实用的且下载量较高的app，记住一定要到官方认证的电子市场或大型的且有官方认证Logo的网站上进行下载安装，切勿随便在不知名的网站或电子市场上下载。

　　病毒作者最喜欢干的事儿就是将自己写的病毒程序捆绑到较热门的app应用程序中，并在后台进行大范围的恶意推广传播，使得用户的隐私及经济受到严重的威胁及损害。