在上圖所示的指令中,服務器正在指示惡意軟件刪除一個名為com.practical.share的軟件。趨勢科技以前也遇到過其他會發(fā)送指令的服務器���,但以往的指令更多的是用于更新惡意軟件的代碼�����、安裝其他軟件(APK)���,或者打開指定的網(wǎng)址。
隨后趨勢科技研究了一下這個軟件�,發(fā)現(xiàn)被刪除的是一個新的DroidDreamLight變種。DroidDreamLight家族產(chǎn)品最著名的特點就是會發(fā)送通知信息��,而這也是其社交工程陷阱的一部分���。誘騙用戶點擊通知信息����,隨后就會下載其他惡意軟件�����,或自動進行更新����。
這個DroidDreamLight變種被命名為ANDROIDOS_DORDRAE.O�,當手機啟動或是接打電話時�����,就會啟動一個名為“SystemConfService”的服務����,該服務會和老版本一樣上傳信息����。
為了看到這個惡意軟件所產(chǎn)生的通知信息,我架設了一個網(wǎng)頁服務器�,修改模擬器的網(wǎng)絡參數(shù),讓惡意軟件可以與它建立聯(lián)系�����,借此進行測試���。根據(jù)對程序代碼的分析����,該惡意軟件會定期從服務器接收到類似下圖所示的XML文件:
該惡意軟件會顯示四種類型的通知信息:
更新
這個通知信息可用于更新惡意軟件����。當用戶點擊更新通知后����,手機會顯示對話框詢問用戶是否要替代現(xiàn)有應用程序�����。如果用戶選擇“是”��,就會繼續(xù)安裝�����,而要安裝的程序文件在顯示通知之前就已經(jīng)被惡意軟件預先下載完成了����。
下載 – 當用戶點擊下載通知后,手機會訪問惡意軟件所指定服務器上的特定文件�����。
市場 – 當用戶點擊市場通知后����,惡意軟件會顯示服務器所指定軟件在應用市場中的頁面�。
網(wǎng)頁 – 當用戶點擊網(wǎng)頁通知后,惡意軟件會連到服務器所指定的網(wǎng)址�。
下面是來自該惡意軟件的通知信息樣本。當然��,惡意軟件的服務器會使用不同的標題和描述����,而且也不會同時發(fā)送不同類型的通知,以避免被懷疑����。
用戶如果想檢查自己的手機是否被感染了這個病毒,可以到“設置>應用程序>正在運行的服務”中檢查是否存在“SystemConfService”這個服務�。
如果有的話,用戶可以手工刪除惡意軟件���,為此請進入“設置>應用程序>管理應用程序”����,并在這里刪除有問題的應用程序:
文中提到的DroidKungFu和DroidDreamLight變種分別被命名為ANDROIDOS_KUNGFU.CI和ANDROIDOS_DORDRAE.O�����。
果.jpg)