在上圖所示的指令中�,服務(wù)器正在指示惡意軟件刪除一個(gè)名為com.practical.share的軟件。趨勢(shì)科技以前也遇到過(guò)其他會(huì)發(fā)送指令的服務(wù)器���,但以往的指令更多的是用于更新惡意軟件的代碼�����、安裝其他軟件(APK)��,或者打開(kāi)指定的網(wǎng)址��。
隨后趨勢(shì)科技研究了一下這個(gè)軟件�����,發(fā)現(xiàn)被刪除的是一個(gè)新的DroidDreamLight變種��。DroidDreamLight家族產(chǎn)品最著名的特點(diǎn)就是會(huì)發(fā)送通知信息����,而這也是其社交工程陷阱的一部分�。誘騙用戶點(diǎn)擊通知信息,隨后就會(huì)下載其他惡意軟件����,或自動(dòng)進(jìn)行更新�����。
這個(gè)DroidDreamLight變種被命名為ANDROIDOS_DORDRAE.O����,當(dāng)手機(jī)啟動(dòng)或是接打電話時(shí)����,就會(huì)啟動(dòng)一個(gè)名為“SystemConfService”的服務(wù)����,該服務(wù)會(huì)和老版本一樣上傳信息。
為了看到這個(gè)惡意軟件所產(chǎn)生的通知信息����,我架設(shè)了一個(gè)網(wǎng)頁(yè)服務(wù)器,修改模擬器的網(wǎng)絡(luò)參數(shù)�,讓惡意軟件可以與它建立聯(lián)系,借此進(jìn)行測(cè)試���。根據(jù)對(duì)程序代碼的分析�,該惡意軟件會(huì)定期從服務(wù)器接收到類(lèi)似下圖所示的XML文件:
該惡意軟件會(huì)顯示四種類(lèi)型的通知信息:
更新
這個(gè)通知信息可用于更新惡意軟件。當(dāng)用戶點(diǎn)擊更新通知后��,手機(jī)會(huì)顯示對(duì)話框詢問(wèn)用戶是否要替代現(xiàn)有應(yīng)用程序�。如果用戶選擇“是”,就會(huì)繼續(xù)安裝�����,而要安裝的程序文件在顯示通知之前就已經(jīng)被惡意軟件預(yù)先下載完成了����。
下載 – 當(dāng)用戶點(diǎn)擊下載通知后,手機(jī)會(huì)訪問(wèn)惡意軟件所指定服務(wù)器上的特定文件��。
市場(chǎng) – 當(dāng)用戶點(diǎn)擊市場(chǎng)通知后�,惡意軟件會(huì)顯示服務(wù)器所指定軟件在應(yīng)用市場(chǎng)中的頁(yè)面。
網(wǎng)頁(yè) – 當(dāng)用戶點(diǎn)擊網(wǎng)頁(yè)通知后�����,惡意軟件會(huì)連到服務(wù)器所指定的網(wǎng)址���。
下面是來(lái)自該惡意軟件的通知信息樣本��。當(dāng)然����,惡意軟件的服務(wù)器會(huì)使用不同的標(biāo)題和描述,而且也不會(huì)同時(shí)發(fā)送不同類(lèi)型的通知���,以避免被懷疑����。
用戶如果想檢查自己的手機(jī)是否被感染了這個(gè)病毒���,可以到“設(shè)置>應(yīng)用程序>正在運(yùn)行的服務(wù)”中檢查是否存在“SystemConfService”這個(gè)服務(wù)���。
如果有的話���,用戶可以手工刪除惡意軟件�,為此請(qǐng)進(jìn)入“設(shè)置>應(yīng)用程序>管理應(yīng)用程序”�����,并在這里刪除有問(wèn)題的應(yīng)用程序:
文中提到的DroidKungFu和DroidDreamLight變種分別被命名為ANDROIDOS_KUNGFU.CI和ANDROIDOS_DORDRAE.O�。
果.jpg)