首页安全播报安全快讯 › 病毒以刷ROM传播 Android惊现刷机吸费大盗

病毒以刷ROM传播 Android惊现刷机吸费大盗

2011-06-28

  腾讯移动安全实验室6月28日播报,Android平台惊现刷机吸费大盗,刷机的机油们要警惕了!现在Android病毒入侵到刷机ROM里了。腾讯移动安全实验室在率先拦截了近十款的“X卧底”类的监听软件之后,现又从刷机ROM里截获了一个名为“刷机吸费大盗”的Android手机病毒。该病毒最大特征是通过刷机ROM来传播,并能够智能分析SP业务确认短信并自动进行二次确认,由于病毒进程名字与系统文件名相似,而且无任何安装图标,因此不易被察觉。

“刷机吸费大盗”与系统进程相似

       目前,由QQ安全助手升级并更名的QQ手机管家(Android),最新2.0版已经可以实现对“刷机吸费大盗”精准查杀。QQ手机管家提醒用户注意,因为病毒制作者把病毒植入ROM里,刷机后病毒软件就具有和系统程序相同的权限,普通的杀毒软件无法将其卸载。而QQ手机管家能够深入系统底层,将内置于ROM的病毒连根拨起,避免了用户重新需要刷ROM的麻烦。

QQ手机管家为强力卸载申请Root权限

       值得注意的是,强力卸载需要申请Root权限。因此初次使用强力卸载功能时可能会弹出如图2所示的提示框,用户选择允许将QQ手机管家添加到Root权限列表后方可强力卸载内置于ROM的病毒,以后使用该功能时则不会再有该提示

据腾讯安全实验室分析人员的火力侦察,“刷机吸费大盗”具有以下五大特征:

1. 该病毒伪装为系统软件与进程,并且隐藏在刷机ROM里传播,用户一刷完带病毒的ROM,系统自动就感染病毒了,非常可怕。

2. 该病毒安装完成后,本地会自动生成一个配置文件。配置文件包括病毒服务器地址、扣费短信端口、拦截的短信属性以及何时触发扣费短信发送等信息。

3. 用户手机一旦从无联网状态切换到联网状态时,病毒就会向服务器发送IMEI、IMSI和手机号码等信息并请求一个配置文件,如果请求成功则会替换原来的配置文件,同时根据这些信息设置定时器,定时器的作用于控制扣费的时间。

4. 该病毒到了触发扣费短信的时间时,会在后台启动服务,向配置文件中的扣费短信端口连续发送若干扣费短信,同时启动短信监听器,如果监听到有需要拦截的短信(即SP业务确认短信)立即删除,并根据配置文件的选项决定是否回复短信。

“刷机吸费大盗”删除确认短信判断是否需要二次确认

       由于一些运营商扣费确认短信需要用户再次返回短信中的动态码进行二次确认,该病毒能够智能提取短信中的动态码进行回复。大家小心了,这些二次确认的业务大多数是包月的,用户可能被偷偷定购了业务,每月都要被扣取业务费用。

“刷机吸费大盗”自动提取动态确认码

5. 配置文件经常更新,所以扣费短信端口也会动态变化。

“刷机吸费大盗”的“智能化程度”明显高于此前出现的那些内置到游戏、应用中的木马病毒。它根据Android用户喜欢自己刷机,更新ROM的特点,伪装成系统进程。可定时激活病毒,定时发送扣费短信,拦截运营商回执短信,并且还能自动进行二次确认。还可自动后台联网上传用户IMEI、IMSI和手机号码等信息,造成用户个人隐私的泄露。自动更新配置文件,变换扣费短信端口,以逃避运营商检查。

QQ手机管家(QQ安全助手)精准查杀“刷机吸费大盗”

安全快讯 更多

蓝牙协议爆严重安全漏洞

蓝牙协议爆严重安全漏洞

2017-09-13
首个Android DDoS恶意程序

首个Android DDoS恶意程序

2017-08-29
勒索病毒生成工具横行

勒索病毒生成工具横行

2017-08-16

安全视频 更多

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02

小管说安全(2)——红包炸弹

2017-07-24