Android安全警告:发现新的短信木马BeanBot2011.10.13
2011-10-17 11:25
239 查看
来自http://www.csc.ncsu.edu/faculty/jiang/BeanBot/
这一周,我的研究小组在同网秦的合作下,在多个Android市场里发现了一个新的短信木马。这个木马被远程控制。它不仅向命令与控制服务器(C&CServer)发送个人的标识信息,还在后台悄悄地发送短信,造成用户手机账单产生不必要的费用。有趣的是,BeanBot的C&C服务器与之前ZeuS所关联的服务器域名是一样的,这自然引起怀疑它连接到ZeuS病毒,但是我们的研究没有显示出任何这样的连接。
How It Works
BeanBot存在于多个重新包装过的付费应用的免费版本中,然后重新发布在第三方市场里。下面的图片展现了它主要的行为特征:
具体来说,有以下三个关键步骤:
1.被感染的应用有一个主要的控制服务,OperateService。可以通过应用程序里的一个假冒的"升级”界面或者是挂钩特定的系统事件(例如设备重启或是挂断电话)来激活这个服务。
2.一旦启动,BeanBot联系它的C&C服务器(http://xxxxx.gicp.net:8083/sp/sync.action),它提供一个信息筏,包括设备的标识号(IMEI),用户识别码(IMSI)以及电话号码。
3.在与C&C服务器通信握手之后,恶意软件从统一个服务器上不同的地址(http://xxxxx.gicp.net:8081/jserver/sp),这些指令会是例如打开一个网页,拨打一个电话号码或者向一个扣费号码发送短信之类的。在最后一种情况下,一旦已经发送到收件箱的文本消息被清除,C&C服务器就会被告知赚取到的金额以及先前所发送的个人信息。
BeanBot采取多种措施来隐蔽自己。它是由三个服务器和一个接受者的集合构成的,它们被包含在一个看似来自Google的包里。除此之外,它的C&C服务器地址经过了加密处理,通过解密我们发现它的域名地址与先前的ZeuS是相互关联的,这自然引起怀疑它连接到ZeuS病毒,但是我们的研究没有显示出任何这样的连接。
已经在一些利用Android Application Licensing(Android应用许可机制)--目的是阻止盗用,的付费应用的重新包装版本中发现BeanBot病毒。恶意软件重写了原始应用程序代码的一小部分,包装了一个框架调用,旨在获取有关应用程序的信息。它并没有直接调用,新的代码调用了原始框架调用,但是在返回对象的时候改变了某些地方,以欺骗Licensing代码。这样,BeanBot以最小的改动使用原应用的代码。
download apps from reputable app stores that you trust; and always check reviews, ratings as well as developer information before downloading;(从正规网站下载应用程序)
check the permissions on apps before you actually install them and make sure you are comfortable with the data they will be accessing;(检查所安装的应用程序是否申请可疑权限)
be alert for unusual behavior on the part of mobile phones and make sure you have up-to-date security software installed on your phone.(注意手机是否出现异常;确保安装了最新版的安全软件)
这一周,我的研究小组在同网秦的合作下,在多个Android市场里发现了一个新的短信木马。这个木马被远程控制。它不仅向命令与控制服务器(C&CServer)发送个人的标识信息,还在后台悄悄地发送短信,造成用户手机账单产生不必要的费用。有趣的是,BeanBot的C&C服务器与之前ZeuS所关联的服务器域名是一样的,这自然引起怀疑它连接到ZeuS病毒,但是我们的研究没有显示出任何这样的连接。
How It Works
BeanBot存在于多个重新包装过的付费应用的免费版本中,然后重新发布在第三方市场里。下面的图片展现了它主要的行为特征:
具体来说,有以下三个关键步骤:
1.被感染的应用有一个主要的控制服务,OperateService。可以通过应用程序里的一个假冒的"升级”界面或者是挂钩特定的系统事件(例如设备重启或是挂断电话)来激活这个服务。
2.一旦启动,BeanBot联系它的C&C服务器(http://xxxxx.gicp.net:8083/sp/sync.action),它提供一个信息筏,包括设备的标识号(IMEI),用户识别码(IMSI)以及电话号码。
3.在与C&C服务器通信握手之后,恶意软件从统一个服务器上不同的地址(http://xxxxx.gicp.net:8081/jserver/sp),这些指令会是例如打开一个网页,拨打一个电话号码或者向一个扣费号码发送短信之类的。在最后一种情况下,一旦已经发送到收件箱的文本消息被清除,C&C服务器就会被告知赚取到的金额以及先前所发送的个人信息。
BeanBot采取多种措施来隐蔽自己。它是由三个服务器和一个接受者的集合构成的,它们被包含在一个看似来自Google的包里。除此之外,它的C&C服务器地址经过了加密处理,通过解密我们发现它的域名地址与先前的ZeuS是相互关联的,这自然引起怀疑它连接到ZeuS病毒,但是我们的研究没有显示出任何这样的连接。
已经在一些利用Android Application Licensing(Android应用许可机制)--目的是阻止盗用,的付费应用的重新包装版本中发现BeanBot病毒。恶意软件重写了原始应用程序代码的一小部分,包装了一个框架调用,旨在获取有关应用程序的信息。它并没有直接调用,新的代码调用了原始框架调用,但是在返回对象的时候改变了某些地方,以欺骗Licensing代码。这样,BeanBot以最小的改动使用原应用的代码。
Mitigation(预防措施):
Due to the fact that BeanBot[/i] can be remotely controlled, we consider it poses serious threats to mobile users. For mitigation, please follow common-sense guidelines for smartphone security. For example,download apps from reputable app stores that you trust; and always check reviews, ratings as well as developer information before downloading;(从正规网站下载应用程序)
check the permissions on apps before you actually install them and make sure you are comfortable with the data they will be accessing;(检查所安装的应用程序是否申请可疑权限)
be alert for unusual behavior on the part of mobile phones and make sure you have up-to-date security software installed on your phone.(注意手机是否出现异常;确保安装了最新版的安全软件)
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Android安全警告:发现高度复杂的Android木马20110919
- Ztorg木马分析: 从Android root木马演变到短信吸血鬼
- Android木马冒充游戏自动散发垃圾短信
- Ztorg木马分析: 从Android root木马演变到短信吸血鬼
- 谷歌从Android市场中剔除恶意短信木马
- Ztorg木马分析: 从Android root木马演变到短信吸血鬼
- 解密短信木马为何屡杀不尽--android手机短信木马的攻与防
- 当心android广告木马恶意使用root权限(发现及清理过程)
- Android应用源码安卓短信拦截木马项目源码
- Android安全警告:新Android短信木马:DroidLive--伪装成google类库2012.1.12
- Android短信拦截的一些发现
- 深度解读Android手机短信木马产业链-小伙伴们都惊呆了!
- 分析Android银行木马GM Bot的变异过程
- Android发现恶意软件被植入木马
- Android手机用户隐私获取,包括读取通讯录、读取通话记录、读取浏览器历史记录、读取手机短信
- android短信实例
- android4.0.4源码修改监控短信发送信息
- android短信选择收件人时,号码搜索联系人修改成任意位置开始中间匹配
- Android真机监听手机短信