安全智能中心

Navigation
移动签名

瞻博网络移动威胁中心 (MTC) 研究机构专门致力于全天候研究移动设备平台和技术特有的安全性、漏洞和恶意软件。 MTC 探索日渐复杂化的攻击、移动网络犯罪的新威胁向量,以及滥用和误用移动设备与数据的可能性。

ANDROID

A.ADRD.1

名称 A.ADRD.1
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.10

名称 A.ADRD.10
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.11

名称 A.ADRD.11
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.12

名称 A.ADRD.12
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.13

名称 A.ADRD.13
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.14

名称 A.ADRD.14
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.15

名称 A.ADRD.15
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.16

名称 A.ADRD.16
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.17

名称 A.ADRD.17
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.18

名称 A.ADRD.18
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.19

名称 A.ADRD.19
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.2

名称 A.ADRD.2
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.20

名称 A.ADRD.20
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.21

名称 A.ADRD.21
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.22

名称 A.ADRD.22
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.23

名称 A.ADRD.23
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.24

名称 A.ADRD.24
类别
发布日期 2011/03/29
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.25

名称 A.ADRD.25
类别
发布日期 2011/09/07
更新编号 7

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.26

名称 A.ADRD.26
类别
发布日期 2011/12/21
更新编号 43

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.27

名称 A.ADRD.27
类别
发布日期 2011/12/21
更新编号 43

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.3

名称 A.ADRD.3
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.4

名称 A.ADRD.4
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.5

名称 A.ADRD.5
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.6

名称 A.ADRD.6
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.7

名称 A.ADRD.7
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.8

名称 A.ADRD.8
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.ADRD.9

名称 A.ADRD.9
类别
发布日期 2011/03/09
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.Adrd.a1

名称 A.Adrd.a1
类别
发布日期 2012/02/22
更新编号 50

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。 一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行: 自操作系统启动后以来已经过去 12 个小时,网络连接发生变化,设备收到电话通话,随后 ADRD 会尝试收集以下信息: 3gnet 3gwap APN cmnet cmwap 硬件信息 IMEI IMSI 网络连接 uninet uniwap Wifi 接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置: [http://]adrd.taxuan.net/index[REMOVED] [http://]adrd.xiaxiab.com/pic.[REMOVED] ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID] 这些搜索请求的目的在于提高某个网站的站点排名。 ADRD 还能够下载和安装自身的新版本,从而实现远程更新:sdcard/uc/myupdate.apk

A.Android FlexiSpy.a

名称 A.Android FlexiSpy.a
类别
发布日期 2010/03/22
更新编号 1

记录电话通话和 SMS 短信并将其发送到远程服务器的木马。 这应该是为此目的而设计的实际应用程序。 但它会暗地里运行,而不会指明目的,因此分类为木马程序。 支持升级的功能集的多个不同程序包附带 FlexiSpy。

A.Anserv.a

名称 A.Anserv.a
类别
发布日期 2011/05/19
更新编号 1

Anserver 是一系列以 Android 设备为目标的恶意应用程序。 受到 Anserver 感染的应用程序能够连接到恶意软件开发人员控制的远程服务器,在未经用户同意的情况下将其他恶意有效负载下载并安装到设备。 已知 Anserver 还会尝试识别移动安全应用程序并终止它们。 此外,Anserver 会打包到被木马感染的合法主机应用程序中,以哄骗用户安装。 一旦安装完毕,感染 Anserver 的应用程序就会将恶意有效负载作为“触摸屏”程序安装到设备,哄骗用户接受原始主机的虚假“升级”来完成安装。 安装后,Anserver 将通过多种方式触发: - 连接更改 - 连接电源 - 连接或断开 USB 大容量存储 - 收到 SMS 短信 - 输入方法更改 - 引导完成 - 设备解锁 在成功启动恶意软件后,Anserver 将联系开发者,检查新的命令与控制 (C&C) 服务器地址。 如果连接成功,Anserver 将以纯文本 XML 的形式收到更新其 C&C 服务器数据库的命令。 最后,Anserver 能够将潜在的敏感设备信息(操作系统版本、IMEI 编号、设备制造商和设备型号)传输给其开发人员

A.AnserverBot

名称 A.AnserverBot
类别
发布日期 2011/12/21
更新编号 43

Anserver 是一系列以 Android 设备为目标的恶意应用程序。 受到 Anserver 感染的应用程序能够连接到恶意软件开发人员控制的远程服务器,在未经用户同意的情况下将其他恶意有效负载下载并安装到设备。 已知 Anserver 还会尝试识别移动安全应用程序并终止它们。 此外,Anserver 会打包到被木马感染的合法主机应用程序中,以哄骗用户安装。 一旦安装完毕,感染 Anserver 的应用程序就会将恶意有效负载作为“触摸屏”程序安装到设备,哄骗用户接受原始主机的虚假“升级”来完成安装。 安装后,Anserver 将通过多种方式触发: - 连接更改 - 连接电源 - 连接或断开 USB 大容量存储 - 收到 SMS 短信 - 输入方法更改 - 引导完成 - 设备解锁 在成功启动恶意软件后,Anserver 将联系开发者,检查新的命令与控制 (C&C) 服务器地址。 如果连接成功,Anserver 将以纯文本 XML 的形式收到更新其 C&C 服务器数据库的命令。 最后,Anserver 能够将潜在的敏感设备信息(操作系统版本、IMEI 编号、设备制造商和设备型号)传输给其开发人员

A.AnserverBot.2

名称 A.AnserverBot.2
类别
发布日期 2011/12/21
更新编号 43

Anserver 是一系列以 Android 设备为目标的恶意应用程序。 受到 Anserver 感染的应用程序能够连接到恶意软件开发人员控制的远程服务器,在未经用户同意的情况下将其他恶意有效负载下载并安装到设备。 已知 Anserver 还会尝试识别移动安全应用程序并终止它们。 此外,Anserver 会打包到被木马感染的合法主机应用程序中,以哄骗用户安装。 一旦安装完毕,感染 Anserver 的应用程序就会将恶意有效负载作为“触摸屏”程序安装到设备,哄骗用户接受原始主机的虚假“升级”来完成安装。 安装后,Anserver 将通过多种方式触发: - 连接更改 - 连接电源 - 连接或断开 USB 大容量存储 - 收到 SMS 短信 - 输入方法更改 - 引导完成 - 设备解锁 在成功启动恶意软件后,Anserver 将联系开发者,检查新的命令与控制 (C&C) 服务器地址。 如果连接成功,Anserver 将以纯文本 XML 的形式收到更新其 C&C 服务器数据库的命令。 最后,Anserver 能够将潜在的敏感设备信息(操作系统版本、IMEI 编号、设备制造商和设备型号)传输给其开发人员

A.AnserverBot.3

名称 A.AnserverBot.3
类别
发布日期 2011/12/21
更新编号 43

Anserver 是一系列以 Android 设备为目标的恶意应用程序。 受到 Anserver 感染的应用程序能够连接到恶意软件开发人员控制的远程服务器,在未经用户同意的情况下将其他恶意有效负载下载并安装到设备。 已知 Anserver 还会尝试识别移动安全应用程序并终止它们。 此外,Anserver 会打包到被木马感染的合法主机应用程序中,以哄骗用户安装。 一旦安装完毕,感染 Anserver 的应用程序就会将恶意有效负载作为“触摸屏”程序安装到设备,哄骗用户接受原始主机的虚假“升级”来完成安装。 安装后,Anserver 将通过多种方式触发: - 连接更改 - 连接电源 - 连接或断开 USB 大容量存储 - 收到 SMS 短信 - 输入方法更改 - 引导完成 - 设备解锁 在成功启动恶意软件后,Anserver 将联系开发者,检查新的命令与控制 (C&C) 服务器地址。 如果连接成功,Anserver 将以纯文本 XML 的形式收到更新其 C&C 服务器数据库的命令。 最后,Anserver 能够将潜在的敏感设备信息(操作系统版本、IMEI 编号、设备制造商和设备型号)传输给其开发人员

A.BaseBridge.b

名称 A.BaseBridge.b
类别
发布日期 2011/09/07
更新编号 7

BaseBridge 出现在一系列盗版、带木马的主机应用程序中,这些应用程序以看似合法的形式展现给 Android 用户。 感染 BaseBridge 的应用程序利用 Android 2.2 和更低版本设备中的“udev”(BID 34536) 漏洞,获得受感染设备的 root 权限。 获得 root 权限后,感染 BaseBridge 的应用程序将安装其有效负载,即“/res/raw/anservb”内应用程序包中存储的“SMSApp.apk”。 成功安装后,“SMSApp.apk”会通过端口 8080 连接到远程服务器,以发送设备识别信息,例如: “订阅者 ID”、“制造商和型号”以及“Android 版本”。 其次,感染 BaseBridge 的应用程序将配置为向收费 SMS 号码发送一系列 SMS 短信,每条信息都会向用户的手机帐户收取费用。 这些扣款几乎一直不会被发现。 BaseBridge 还会删除移动设备收件箱中的 SMS 短信,从而降低用户发现其发送收费 SMS 短信的几率,而且还能在未经呼叫者同意的情况下拨打电话号码。

A.BaseBridge.f

名称 A.BaseBridge.f
类别
发布日期 2011/09/07
更新编号 7

BaseBridge 出现在一系列盗版、带木马的主机应用程序中,这些应用程序以看似合法的形式展现给 Android 用户。 感染 BaseBridge 的应用程序利用 Android 2.2 和更低版本设备中的“udev”(BID 34536) 漏洞,获得受感染设备的 root 权限。 获得 root 权限后,感染 BaseBridge 的应用程序将安装其有效负载,即“/res/raw/anservb”内应用程序包中存储的“SMSApp.apk”。 成功安装后,“SMSApp.apk”会通过端口 8080 连接到远程服务器,以发送设备识别信息,例如: “订阅者 ID”、“制造商和型号”以及“Android 版本”。 其次,感染 BaseBridge 的应用程序将配置为向收费 SMS 号码发送一系列 SMS 短信,每条信息都会向用户的手机帐户收取费用。 这些扣款几乎一直不会被发现。 BaseBridge 还会删除移动设备收件箱中的 SMS 短信,从而降低用户发现其发送收费 SMS 短信的几率,而且还能在未经呼叫者同意的情况下拨打电话号码。

A.Basebrid.1

名称 A.Basebrid.1
类别
发布日期 2011/12/21
更新编号 43

BaseBridge 出现在一系列盗版、带木马的主机应用程序中,这些应用程序以看似合法的形式展现给 Android 用户。 感染 BaseBridge 的应用程序利用 Android 2.2 和更低版本设备中的“udev”(BID 34536) 漏洞,获得受感染设备的 root 权限。 获得 root 权限后,感染 BaseBridge 的应用程序将安装其有效负载,即“/res/raw/anservb”内应用程序包中存储的“SMSApp.apk”。 成功安装后,“SMSApp.apk”会通过端口 8080 连接到远程服务器,以发送设备识别信息,例如: “订阅者 ID”、“制造商和型号”以及“Android 版本”。 其次,感染 BaseBridge 的应用程序将配置为向收费 SMS 号码发送一系列 SMS 短信,每条信息都会向用户的手机帐户收取费用。 这些扣款几乎一直不会被发现。 BaseBridge 还会删除移动设备收件箱中的 SMS 短信,从而降低用户发现其发送收费 SMS 短信的几率,而且还能在未经呼叫者同意的情况下拨打电话号码。

A.BlitzF.a

名称 A.BlitzF.a
类别
发布日期 2010/08/16
更新编号 1

“com.blitzforce.massada”表示来自中国电子科技大学 Blitz Force Massada 小组的一个程序包名称,该程序包显示为概念验证 (POC) 恶意软件,以 Android 设备为目标。 作为 POC,com.blitzforce.massada 的创建目的并非造成破坏,而仅仅是展现潜在恶意软件的功能。 Com.blitzforce.massada 利用多种攻击方式展现以下能力: - 在无用户干预的情况下接收呼入通话 - 导致手机在无用户干预的情况下挂断通话 - 关闭设备无线功能,禁止任何呼入/呼出通话 - 收集敏感设备信息并发送给远程服务器

A.DDLight.a

名称 A.DDLight.a
类别
发布日期 2011/09/07
更新编号 7

DroidDream Light 是进入官方 Android 市场的上一代 DroidDream 的变体。 DroidDream Light 与其前身相同,也是出现在盗版、带木马的 Android 应用程序中。 分析表明,这些盗版、带木马的应用程序的恶意特点会在收到来电时表现出来。 启动后,DroidDream Light 将收集以下信息并将其发送给远程服务器: - IMEI 编号 - 电话号码 - 设备型号 - Android 版本 感染 DroidDream Light 恶意软件的应用程序还能从远程服务器下载其他程序包以供安装。 与前身 DroidDream 不同的是,DroidDream Light 无法在后台安装其他应用程序,因此用户会收到安装提示。

A.DrdDream.a

名称 A.DrdDream.a
类别
发布日期 2011/03/09
更新编号 1

DroidDream 是 Android 市场上出现的第一种复杂 Android 木马。 多种含木马的盗版应用程序带有 DroidDream,恶意软件开发人员将恶意代码插入合法应用程序中,并将其与合法应用程序一同发布。 DroidDream 利用“rageagainstthecage”root 利用漏洞,获取受感染设备上的 root 权限。 root 完成后,感染 DroidDream 的应用程序包内包含的额外有效负载将在后台静默安装,用户将毫不知情。 这个额外的程序包允许木马捕获设备的以下信息: - 产品 ID - 型号 - 服务提供商 - 设备语言 - 设备上配置的用户 ID。随后,此信息将传输到远程服务器。DroidDream 随后会采取进一步行动,为木马嵌入随心所欲在后台下载和安装其他应用程序的功能。 这种功能会进一步扩展恶意软件的能力,而且用户毫不知情。

A.DroidDream

名称 A.DroidDream
类别
发布日期 2012/01/27
更新编号 47

DroidDream 是 Android 市场上出现的第一种复杂 Android 木马。 多种含木马的盗版应用程序带有 DroidDream,恶意软件开发人员将恶意代码插入合法应用程序中,并将其与合法应用程序一同发布。 DroidDream 利用“rageagainstthecage”root 利用漏洞,获取受感染设备上的 root 权限。 root 完成后,感染 DroidDream 的应用程序包内包含的额外有效负载将在后台静默安装,用户将毫不知情。 这个额外的程序包允许木马捕获设备的以下信息: - 产品 ID - 型号 - 服务提供商 - 设备语言 - 设备上配置的用户 ID。随后,此信息将传输到远程服务器。DroidDream 随后会采取进一步行动,为木马嵌入随心所欲在后台下载和安装其他应用程序的功能。 这种功能会进一步扩展恶意软件的能力,而且用户毫不知情。

A.DroidDream.2

名称 A.DroidDream.2
类别
发布日期 2012/01/27
更新编号 47

DroidDream 是 Android 市场上出现的第一种复杂 Android 木马。 多种含木马的盗版应用程序带有 DroidDream,恶意软件开发人员将恶意代码插入合法应用程序中,并将其与合法应用程序一同发布。 DroidDream 利用“rageagainstthecage”root 利用漏洞,获取受感染设备上的 root 权限。 root 完成后,感染 DroidDream 的应用程序包内包含的额外有效负载将在后台静默安装,用户将毫不知情。 这个额外的程序包允许木马捕获设备的以下信息: - 产品 ID - 型号 - 服务提供商 - 设备语言 - 设备上配置的用户 ID。随后,此信息将传输到远程服务器。DroidDream 随后会采取进一步行动,为木马嵌入随心所欲在后台下载和安装其他应用程序的功能。 这种功能会进一步扩展恶意软件的能力,而且用户毫不知情。

A.DroidDream.3

名称 A.DroidDream.3
类别
发布日期 2012/01/27
更新编号 47

DroidDream 是 Android 市场上出现的第一种复杂 Android 木马。 多种含木马的盗版应用程序带有 DroidDream,恶意软件开发人员将恶意代码插入合法应用程序中,并将其与合法应用程序一同发布。 DroidDream 利用“rageagainstthecage”root 利用漏洞,获取受感染设备上的 root 权限。 root 完成后,感染 DroidDream 的应用程序包内包含的额外有效负载将在后台静默安装,用户将毫不知情。 这个额外的程序包允许木马捕获设备的以下信息: - 产品 ID - 型号 - 服务提供商 - 设备语言 - 设备上配置的用户 ID。随后,此信息将传输到远程服务器。DroidDream 随后会采取进一步行动,为木马嵌入随心所欲在后台下载和安装其他应用程序的功能。 这种功能会进一步扩展恶意软件的能力,而且用户毫不知情。

A.DroidDream.n

名称 A.DroidDream.n
类别
发布日期 2012/01/27
更新编号 47

DroidDream 是 Android 市场上出现的第一种复杂 Android 木马。 多种含木马的盗版应用程序带有 DroidDream,恶意软件开发人员将恶意代码插入合法应用程序中,并将其与合法应用程序一同发布。 DroidDream 利用“rageagainstthecage”root 利用漏洞,获取受感染设备上的 root 权限。 root 完成后,感染 DroidDream 的应用程序包内包含的额外有效负载将在后台静默安装,用户将毫不知情。 这个额外的程序包允许木马捕获设备的以下信息: - 产品 ID - 型号 - 服务提供商 - 设备语言 - 设备上配置的用户 ID。随后,此信息将传输到远程服务器。DroidDream 随后会采取进一步行动,为木马嵌入随心所欲在后台下载和安装其他应用程序的功能。 这种功能会进一步扩展恶意软件的能力,而且用户毫不知情。

A.EicarAndr

名称 A.EicarAndr
类别
发布日期 2011/11/01
更新编号 37

EICAR 防病毒测试应用程序 此应用程序无害。 它并不会损坏您的设备。 此应用程序只是显示类似于这样的一条消息,不会执行其他任何操作。 它不需要安装权限。 它不会读取您的数据、接入互联网或创建任何文件。 除了显示一条消息之外,它不会在后台运行、自动启动,或者执行其他任何操作。 但其中可能包含欧洲反计算机病毒协会 (EICAR) 创建的一段文本,这段文本可以安全的方式被所有反病毒产品检测为病毒,以便人们测试反病毒应用程序,确定其能否正常工作,而且无需使用真正的病毒或其他恶意软件实际感染其设备。 为明确起见 — 此应用程序完全无害,但应该被检测为病毒。 这就是它的全部目的。 如果您在手机上运行反病毒应用程序,则在安装此应用程序时,反病毒应用程序应将其检测为病毒。 有关更多详细信息,请在维基百科上搜索“EICAR标准反病毒测试文件”,或者访问 EICAR 网站 eicar.org。

A.FakePlayer.gen

名称 A.FakePlayer.gen
类别
发布日期 2010/09/14
更新编号 1

“Fake Player”是第一个已知会感染 Android 设备的 SMS 短信木马应用程序。 此应用程序以名为“ru.apk”的 APK(Android 程序包)形式进入手持设备,在设备的应用程序列表中显示为“org.me.androidapplication1”,在应用程序抽屉中显示为“Movie Player”。 分析表明,“Fake Player”较为基础,开发人员创建了一个简单的“Hello, World”应用程序,并对代码进行了修改,通过请求“SMS_SEND”权限包含了极为基本的 SMS 短信功能。 作为一种 SMS 短信木马,在安装后,“Fake Player”会向 SMS 号码“3353”发送一条包含“798657”的 SMS 短信,所发送的每一条短信都会向用户的移动帐户收费。 发送短信后,木马将向短号“3354”发送相同的短信,随后向“3353”发送第三条短信。 分析表明,“Fake Player”仅通过第三方渠道分发,从未出现在任何地区的 Android 市场中。 此外,“Fake Player”据信无法在俄罗斯电信运营商网络以外正常工作,因为其配置的短号存在于俄罗斯网络内,俄罗斯以外的运营商网络无法使用此短号。 除此之外,“Fake Player”无法自我传播,必须由设备用户发起必要的操作以安装应用程序,并且必须确认用户批准其请求的权限。

A.FakeTr.a

名称 A.FakeTr.a
类别
发布日期 2011/09/07
更新编号 7

Fake Trusteer 鼓励用户在“银行网站”中输入不必要的密钥,以使用智能手机银行服务。 信息泄露。

A.Flexispy.gen

名称 A.Flexispy.gen
类别
发布日期 2012/02/22
更新编号 50

FlexiSpy 是一种影响大多数主流移动平台的商业间谍软件。 Flexispy 会记录手机通话和 SMS 短信,并将其发送至远程服务器。 这应该是为此目的而设计的实际应用程序。 但它会暗地里运行,而不会指明目的,因此分类为木马程序。 支持升级的功能集的多个不同程序包附带 FlexiSpy。 完整功能集如下: 远程侦听 通过 SMS 短信控制手机 SMS 和电子邮件日志 通话历史记录日志 位置跟踪 通话拦截 GPS 跟踪 屏蔽 黑名单 白名单 Web 支持 安全登录 查看报告 高级搜索 下载报告 特殊功能 SIM 卡更换通知 所需 GPRS 功能 侦听记录的对话

A.Foncy.a

名称 A.Foncy.a
类别
发布日期 2012/01/27
更新编号 47

Foncy 是一种 SMS 短信木马应用程序,并且被重新打包为合法应用程序的形式。 它使用特殊方法,允许其检索设备的国家/地区代码,以便向适当国家/地区内的特定号码发送收费 SMS 短信。 目前,Foncy 已知仅影响欧洲国家/地区和用户。

A.GGTracker

名称 A.GGTracker
类别
发布日期 2011/09/07
更新编号 7

GGTracker 是一种面向 Android 设备的木马程序,向收费号码发送 SMS 短信,同时收集敏感设备信息。 木马执行时,将会发送被入侵设备的电话号码,以便控制服务器向设备发送 SMS 短信。 接下来,木马会监控收到的短信,拦截以下号码的 SMS 短信: 00033335 00036397 33335 36397 46621 55991 55999 56255 96512 99735 它还会发送以下 SMS 短信以响应 41001 发来的 SMS 短信: YES 该木马可能收集以下信息: - 设备电话号码 - 网络运营商名称 - 所拦截的 SMS 短信的发送人和内容 - 收件箱中 SMS 短信的发送人和内容 - Android 操作系统的版本 随后,它会将收集到的信息发送到以下位置:http://www.amaz0n-cloud.com/droid/droid.php

A.GGTracker.b

名称 A.GGTracker.b
类别
发布日期 2011/09/07
更新编号 7

GGTracker 是一种面向 Android 设备的木马程序,向收费号码发送 SMS 短信,同时收集敏感设备信息。 木马执行时,将会发送被入侵设备的电话号码,以便控制服务器向设备发送 SMS 短信。 接下来,木马会监控收到的短信,拦截以下号码的 SMS 短信: 00033335 00036397 33335 36397 46621 55991 55999 56255 96512 99735 它还会发送以下 SMS 短信以响应 41001 发来的 SMS 短信: YES 该木马可能收集以下信息: - 设备电话号码 - 网络运营商名称 - 所拦截的 SMS 短信的发送人和内容 - 收件箱中 SMS 短信的发送人和内容 - Android 操作系统的版本 随后,它会将收集到的信息发送到以下位置:http://www.amaz0n-cloud.com/droid/droid.php

A.Geinimi.25

名称 A.Geinimi.25
类别
发布日期 2011/03/29
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.26

名称 A.Geinimi.26
类别
发布日期 2011/03/29
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.27

名称 A.Geinimi.27
类别
发布日期 2011/03/29
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.28

名称 A.Geinimi.28
类别
发布日期 2011/03/29
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.01

名称 A.Geinimi.01
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.02

名称 A.Geinimi.02
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.03

名称 A.Geinimi.03
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.04

名称 A.Geinimi.04
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.05

名称 A.Geinimi.05
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.06

名称 A.Geinimi.06
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.07

名称 A.Geinimi.07
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.08

名称 A.Geinimi.08
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.09

名称 A.Geinimi.09
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.10

名称 A.Geinimi.10
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.11

名称 A.Geinimi.11
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.12

名称 A.Geinimi.12
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,Geinimi 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.13

名称 A.Geinimi.13
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.14

名称 A.Geinimi.14
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.16

名称 A.Geinimi.16
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.17

名称 A.Geinimi.17
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.18

名称 A.Geinimi.18
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.19

名称 A.Geinimi.19
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.20

名称 A.Geinimi.20
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.21

名称 A.Geinimi.21
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.22

名称 A.Geinimi.22
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.23

名称 A.Geinimi.23
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.24

名称 A.Geinimi.24
类别
发布日期 2011/01/11
更新编号 1

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.29

名称 A.Geinimi.29
类别
发布日期 2011/09/07
更新编号 7

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.30

名称 A.Geinimi.30
类别
发布日期 2011/09/07
更新编号 7

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,它会分解这些应用程序,将 Geinimi 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.31

名称 A.Geinimi.31
类别
发布日期 2011/09/07
更新编号 7

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.32

名称 A.Geinimi.32
类别
发布日期 2011/09/07
更新编号 7

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.Geinimi.33

名称 A.Geinimi.33
类别
发布日期 2011/09/07
更新编号 7

“给你米”(Geinimi) 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能: - 监控和发送 SMS 短信 - 删除选定 SMS 短信 - 监控和发送位置数据 - 获取和发送设备识别数据 (IMEI/IMSI) - 下载并提示用户安装第三方应用程序 - 枚举并传输受感染设备上安装的应用程序列表 - 拨打电话 - 静默下载文件 - 启动浏览器并转到预先定义的 URL 目前为止,“给你米”(Geinimi) 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。 感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。 感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。 “给你米”(Geinimi) 代码中的以下使用 8080 端口的 URL 已被确定为其使用的远程服务器:www.widifu.com www.udaore.com www.frijd.com www.piajesj.com www.qoewsl.com www.weolir.com www.uisoa.com www.riusdu.com www.aiucr.com 117.135.134.185 对“给你米”(Geinimi) 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受“给你米”(Geinimi) 代码感染:com.moonage.iTraining – 检测为 A.Geinimi.01 com.sgg.sp – 检测为 A.Geinimi.02 com.bitlogik.uconnect – 检测为 A.Geinimi.03 com.ubermind.ilightr – 检测为 A.Geinimi.04 com.outfit7.talkinghippo – 检测为 A.Geinimi.05 com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07 com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08 cmp.LocalService – 检测为 A.Geinimi.09 jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10 com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11 cmp.netsentry – 检测为 A.Geinimi.12 com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13 com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14 com.masshabit.squibble.free – 检测为 A.Geinimi.15 signcomsexgirl1.mm – 检测为 A.Geinimi.16 redrabbit.CityDefense – 检测为 A.Geinimi.17 com.gamevil.bs2010 – 检测为 A.Geinimi.18 com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19 com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20 sex.sexy – 检测为 A.Geinimi.21 com.swampy.sexpos – 检测为 A.Geinimi.22 com.ericlie.cg5 – 检测为 A.Geinimi.23 chaire1.mm – 检测为 A.Geinimi.24 如前所述,尚未发现官方 Android 市场中存在感染“给你米”(Geinimi) 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

A.GingerMaster.2

名称 A.GingerMaster.2
类别
发布日期 2012/01/27
更新编号 47

GingerMaster 是第一个利用 Android 2.3 (Gingerbread) root 漏洞的 Android 恶意软件,这不同于利用 Android 2.2 及更低版本的 root 漏洞、能够 root 设备以扩展自身功能的先前 Android 恶意软件变体。 GingerMaster 沿袭了将恶意代码重新打包到合法应用程序中的趋势。 安装感染木马的应用程序后,它将注册一个接收器,从而在系统成功引导后收到通知,并在后台启动一项服务,收集设备识别信息并上传到远程服务器。 除了收集此类设备信息之外,感染 GingerMaster 的应用程序还会尝试利用“GingerBreak”root 漏洞,为自身升级 root 权限,并尝试在系统分区中安装一个 root shell,以备稍后使用。 获得 root 权限后,GingerMaster 会尝试连接到远程命令与控制 (C&C) 服务器,并将等待来自僵尸网络主机的指令。 随后,GingerMaster 能够在先前安装的 root shell 中执行“pm install”,从而开始静默下载和安装能够扩展恶意软件功能的其他应用程序。

A.GingerMaster.a

名称 A.GingerMaster.a
类别
发布日期 2011/08/31
更新编号 5

GingerMaster 是第一个利用 Android 2.3 (Gingerbread) root 漏洞的 Android 恶意软件,这不同于利用 Android 2.2 及更低版本的 root 漏洞、能够 root 设备以扩展自身功能的先前 Android 恶意软件变体。 GingerMaster 沿袭了将恶意代码重新打包到合法应用程序中的趋势。 安装感染木马的应用程序后,它将注册一个接收器,从而在系统成功引导后收到通知,并在后台启动一项服务,收集设备识别信息并上传到远程服务器。 除了收集此类设备信息之外,感染 GingerMaster 的应用程序还会尝试利用“GingerBreak”root 漏洞,为自身升级 root 权限,并尝试在系统分区中安装一个 root shell,以备稍后使用。 获得 root 权限后,GingerMaster 会尝试连接到远程命令与控制 (C&C) 服务器,并将等待来自僵尸网络主机的指令。 随后,GingerMaster 能够在先前安装的 root shell 中执行“pm install”,从而开始静默下载和安装能够扩展恶意软件功能的其他应用程序。

A.GoldDream.3

名称 A.GoldDream.3
类别
发布日期 2011/09/07
更新编号 7

“GoldDream”是在名为“Fast Racing”的应用程序中发现的 Android 恶意软件。 “Fast Racing”是一款拉力赛车游戏,运行时看似一切正常,但后台包含恶意代码。 “Fast Racing”的程序包名称为“com.creativemobi.DragRacing”,请求的权限远超过一款游戏所需要的权限。 警惕性较高的用户可能会注意到它请求以下权限,因此可能是一种恶意应用程序: - 您的短信 - 您的位置 - 网络通信 - 存储 - 收费服务 - 手机通话 我们已经确定了另外 6 种感染 GoldDream 恶意软件的应用程序。 可通过以下程序包名称找到这些应用程序: Pure Girls 16 – com.GoldDream.pg03 Pure Girls 16 – com.GoldDream.pg04 Pure Girls 16 – com.GoldDream.pg Forrest Defender – com.droid.game.forestman DevilDom Ninja – com.droidstu.game.devilninja Blood vs Zombie – com.gamelio.DrawSlasher 已知的感染 GoldDream 恶意软件的 Android 应用程序可监控受感染移动设备上的所有传入和传出 SMS 短信和电话通话。 该恶意软件会侦听这些通信,捕获与短信或通话相关的电话号码。 对于 SMS 短信,GoldDream 恶意软件还会捕获短信内容,并将捕获到的所有数据存储到移动手持设备上的两个不同文本文件中,在收到命令后将捕获到的数据发送给控制服务器。[redacted]phonecall.txt [redacted]sms.txt 在收到/发出短信或通话时,将在设备上的 /data/data/app_name/files 文件夹下创建这些文件 GoldDream 感染的应用程序还包含命令与控制 (C&C) 功能,命令服务器可指示恶意软件执行某些预先配置好的功能。 恶意软件分析表明,C&C 服务器或许能指示受感染的设备执行以下功能: - 后台发送 SMS 短信 - 后台拨打电话 - 后台安装/卸载应用程序 - 将文件上传到远程服务器

A.HippoSMS

名称 A.HippoSMS
类别
发布日期 2012/01/27
更新编号 47

HippoSMS 包含于合法应用程序的破解版中,针对亚洲用户。 安装后,HippoSMS 会向收费号码发送 SMS 短信,短信内容为“8”。 它还会监控传入的 SMS 短信,并删除任何以“10”开头的传入短信。

A.HippoSMS.a

名称 A.HippoSMS.a
类别
发布日期 2011/09/07
更新编号 7

HippoSMS 包含于合法应用程序的破解版中,针对亚洲用户。 安装后,HippoSMS 会向收费号码发送 SMS 短信,短信内容为“8”。 它还会监控传入的 SMS 短信,并删除任何以“10”开头的传入短信。

A.Jifake.gen1

名称 A.Jifake.gen1
类别
发布日期 2012/01/27
更新编号 47

Jifake 包含于俄罗斯用户修改版的即时消息传递应用程序 JIMM 预下载程序中。 这种预下载要求最终用户向一个短号 (2476) 发送内容为“744155jimm”的短信,以获取完整版本。 受害者将需要支付该 SMS 短信的费用。 Jifake 的另外一种变体会向短号 1899 发送 SMS 短信。 SMS 短信的内容如下: 1107[APPLICATION_CODE]1[RANDOM NUMBER].4

A.Jifake.gen2

名称 A.Jifake.gen2
类别
发布日期 2012/01/27
更新编号 47

Jifake 包含于俄罗斯用户修改版的即时消息传递应用程序 JIMM 预下载程序中。 这种预下载要求最终用户向一个短号 (2476) 发送内容为“744155jimm”的短信,以获取完整版本。 受害者将需要支付该 SMS 短信的费用。 Jifake 的另外一种变体会向短号 1899 发送 SMS 短信。 SMS 短信的内容如下: 1107[APPLICATION_CODE]1[RANDOM NUMBER].4

A.KMin

名称 A.KMin
类别
发布日期 2012/01/27
更新编号 47

KMin 是感染 Android 设备的一种恶意应用程序。 该木马可能表现为名为“KMHome”的 Android 应用程序,并尝试收集设备 ID、订阅者 ID 和设备的当前时间,以发送给远程服务器。

A.Kidlogger.a

名称 A.Kidlogger.a
类别
发布日期 2011/09/07
更新编号 7

KidLogger 是面向 Android 设备的一种非商业间谍软件。 Kid Logger 目前仍在 Android 市场中上架,其市场描述如下: 将电话和用户活动记录到一个日志文件中: - 记录所有通话 - SMS 短信内容及收信人姓名 - Wi-Fi 连接 - GSM 状态(飞行模式、运营商名称等) - 通过 USB 连接使用 SD 卡的情况 - 记录所用的全部应用程序 - 记录访问过的网站(仅限标准浏览器)。 - 记录屏幕键盘中的按键操作和剪贴板文本。 - 还会记录手机坐标和拍摄的照片。 - 后台隐藏工作 - 采用密码保护 将用户活动日志文件保留 5 天,或将其上传到您的 Kidlogger.net 帐户。 您可以随时在线查看手机活动日志。 安装后 - 重新启动手机 - 拨打 *123456# 开启和激活 KidLogger 应用程序。 如果您不想重新启动,请安装“Soft Keyboard PRO”输入法。 请查看“Soft Keyboard PRO”应用程序了解详情。 KidLogger 之所以被标为间谍软件,是因为它能对用户隐藏自身。 尽管对于希望了解孩子上网和手机使用情况的家长而言,此类应用程序确实能提供必要服务,但也会让未经授权的用户能够非法监控毫不知情的人。

A.KungFu.a

名称 A.KungFu.a
类别
发布日期 2011/09/07
更新编号 7

Droid KungFu 是一种面向非 Android 官方市场的中文用户的 Android 恶意软件,包含于预先打包的盗版、含木马应用程序中,其中包含实现其功能的恶意代码。 Droid KungFun 利用“udev”和“rageagainstthecage”root 漏洞静默获取受感染设备的 root 访问权限。 在安装时,受感染的应用程序将向设备注册新服务和新接收器,接收器将在设备重启时收到通知,并能够在后台自动启动服务。 启动后的服务会解密已加密的 root 攻击有效负载,并对设备发起攻击,尝试升级到 root 权限。 获取 root 权限后,Droid KungFu 将尝试收集要发送给远程服务器的设备信息。 收集的设备信息包括: - IMEI 编号 - 设备型号 - Android 版本 在恶意软件收集到必要的信息,并将这些信息传输给远程服务器以注册设备之后,Droid KungFu 将利用设备 root 权限,尝试在用户毫不知情的情况下,在后台为设备安装其他程序包。 安装的应用程序“Legacy”会伪装成合法的 Google 搜索应用程序,应用程序图标与之完全相同。 但“Legacy”实际上是一个后门程序,连接到远程服务器以接收有关后续操作的命令和指令,将受感染的设备转变为僵尸机器人。

A.KungFu2.2

名称 A.KungFu2.2
类别
发布日期 2012/01/27
更新编号 47

Droid KungFu2 是打包在盗版、含木马的 Android 应用程序中的原始 Droid KungFu 恶意软件的变体。 Droid KungFu2 包含与其上一代相同的大多数功能,此外还会尝试掩藏其以 Dalvik 代码(基于 Java)编写的代码部分,并改为使用本机代码。 它还会利用两个额外的命令与控制 (C&C) 域,而其上一代仅使用一个 C&C 域。 这些更改采用可混淆现有检测方法的方式实现,而且能够拖慢分析速度,使得研究人员更难分析和识别恶意软件的通信和其他功能。

A.KungFu2.a

名称 A.KungFu2.a
类别
发布日期 2012/01/27
更新编号 47

Droid KungFu2 是打包在盗版、含木马的 Android 应用程序中的原始 Droid KungFu 恶意软件的变体。 Droid KungFu2 包含与其上一代相同的大多数功能,此外还会尝试掩藏其以 Dalvik 代码(基于 Java)编写的代码部分,并改为使用本机代码。 它还会利用两个额外的命令与控制 (C&C) 域,而其上一代仅使用一个 C&C 域。 这些更改采用可混淆现有检测方法的方式实现,而且能够拖慢分析速度,使得研究人员更难分析和识别恶意软件的通信和其他功能。

A.KungFu3.a

名称 A.KungFu3.a
类别
发布日期 2011/08/31
更新编号 5

Droid KungFu3 是感染 Android 设备的 Droid KungFun 系列恶意软件中的第三代变体。 与上一代一样,Droid KungFu3 存在于面向 Android 设备的盗版、带木马应用程序中。 Droid KungFu3 进一步尝试掩盖其真正意图。 Droid KungFu2 添加了两个额外的命令与控制 (C&C) 服务器,并将其硬编码到本机代码中,而 Droid KungFu3 实际上加密了全部 3 个 C&C 服务器地址,进一步加大了恶意软件反向工程的难度。 Droid KungFu3 的主要目的不会因细微变化而更改。 与上一代一样,Droid KungFu3 利用两种 root 漏洞之一获得受感染设备的 root 权限。 获取 root 权限后,它会尝试安装一个伪装为虚假 Google 更新应用程序的嵌入 APK(Android 程序包)。 如果嵌入应用程序成功安装,它不会向用户显示应用程序图标。 实际上,所安装的应用程序会开启设备后门,连接到远程服务器以接受指令,将设备转变成一台僵尸机器人。

A.Lovetrap.1

名称 A.Lovetrap.1
类别
发布日期 2012/01/27
更新编号 47

LoveTrap 是一种 Android 木马,可向收费号码发送 SMS 短信。 安装后,LoveTrap 从远程服务器检索收费号码,以发送向移动用户帐户收费的 SMS 短信。 木马随后会尝试进一步拦截任何收费号码发来的 SMS 确认短信,以掩盖其行为。

A.Lovetrap.2

名称 A.Lovetrap.2
类别
发布日期 2012/01/27
更新编号 47

LoveTrap 是一种 Android 木马,可向收费号码发送 SMS 短信。 安装后,LoveTrap 从远程服务器检索收费号码,以发送向移动用户帐户收费的 SMS 短信。 木马随后会尝试进一步拦截任何收费号码发来的 SMS 确认短信,以掩盖其行为。

A.Lovetrap.3

名称 A.Lovetrap.3
类别
发布日期 2012/01/27
更新编号 47

LoveTrap 是一种 Android 木马,可向收费号码发送 SMS 短信。 安装后,LoveTrap 从远程服务器检索收费号码,以发送向移动用户帐户收费的 SMS 短信。 木马随后会尝试进一步拦截任何收费号码发来的 SMS 确认短信,以掩盖其行为。

A.MNauten.gen

名称 A.MNauten.gen
类别
发布日期 2010/10/05
Update Number 1

Mobinauten SMS Spy 仍在 Android 市场中上架,描述为可协助用户查找丢失或被窃设备的应用程序。 SMS Spy 之所以被标为间谍软件,是因为它会对用户隐藏自身,而且不会在设备的应用程序抽屉中插入应用程序图标。 SMS Spy 的程序包名称为“de.mobinauten.smsspy”,应用程序名称为“SMS Spy”。 SMS Spy 要求攻击者向设备发送一条 SMS 短信,预配置的短信是“How are you???”(你好吗?) 定位的设备将通过 3 条 SMS 短信答复发送者。 第一条确认已接收到定位短信。 第二条回复设备的 GPS 坐标和地址。 第三条答复包含链接到显示设备所在位置的 Google 地图的 URL。 SMS Spy 允许用户选择隐藏传入的“定位”SMS 短信。 在这种情况下,必须在目标设备上创建一个独立联系人,其姓氏为“systemnumber”,其余信息留空。 通过在目标设备上创建这个“systemnumber”联系人,SMS Spy 即可删除特定结构的定位消息,并将发送到系统通知的消息修改为“Internal Service – SMS Database optimized and compressed”(内部服务 - SMS 数据库已优化和压缩) 如果得到合理利用,SMS Spy 确实是一种有用的应用程序。 但由于这种应用程序会想方设法对用户隐藏自身,而且可能允许攻击者隐藏传入的定位短信,因此被标为 Android 间谍软件,让用户能在审慎斟酌后决定是否应在设备上保留此应用程序。

A.NickiSpy.a

名称 A.NickiSpy.a
类别
发布日期 2011/08/31
更新编号 5

NickySpy 是一种感染 Android 设备的恶意程序。 NickySpy 以名为“Android System Manager”的应用程序形式出现,但实际上这个应用程序只会收集设备信息,并将其发送给远程服务器。 NickySpy 能够捕获以下信息: 语音通话 SMS 短信 GPS 位置信息 国际移动设备识别码 IP 地址 该恶意软件会将语音通话数据存储到 SD 卡上名为“/sdcard/shangzhou/callrecord”的文件夹中,并创建一个计时器事件,启动数据收集并将这些详细信息发送到远程服务器。

A.NickiSpy.b

名称 A.NickiSpy.b
类别
发布日期 2011/08/31
更新编号 5

NickySpy 是一种感染 Android 设备的恶意程序。 NickySpy 以名为“Android System Manager”的应用程序形式出现,但实际上这个应用程序只会收集设备信息,并将其发送给远程服务器。 NickySpy 能够捕获以下信息: 语音通话 SMS 短信 GPS 位置信息 国际移动设备识别码 IP 地址 该恶意软件会将语音通话数据存储到 SD 卡上名为“/sdcard/shangzhou/callrecord”的文件夹中,并创建一个计时器事件,启动数据收集并将这些详细信息发送到远程服务器。

A.PJApp.1

名称 A.PJApp.1
类别
发布日期 2011/03/09
更新编号 1

PJApps 通常出现在基于官方 Android 市场应用程序的盗版应用程序中,其中封装了恶意代码,并以合法应用程序的身份发布到中国第三方应用程序商店中。 在该木马执行时,它会请求执行以下操作的权限: - 打开网络套接字 - 发送和监控传入的 SMS 短信 - 读取和写入用户的浏览历史记录和书签 - 安装程序包 - 写入外部存储 - 读取手机状态(即,停机、关闭无线功能等) 随后它将创建一个在后台运行的服务。 在设备的接收信号发生变化时,威胁启动程序将被触发。 在服务启动时,它会尝试使用以下 URL 自我注册:http://mobile.meego91.com/mm.do?..[PARAMETERS] 注意: [PARAMETERS] 是一个变量,其中包含来自设备的以下信息 - IMEI - 设备 ID - 线数 - 订阅者 ID - SIM 卡序列号 该威胁可能向由攻击者控制的手机号码发送一条短信,提供受感染设备的 IMEI 编号。 作为此短信发送目标的手机号码将从以下 URL 获取:http://log.meego91.com:9033/android.log?[PARAMETERS] 该威胁会从以下位置下载命令:http://xml.meego91.com:8118/push/newandroidxml/… 这些命令包含于一个 .xml 文件中,其中包含如下命令: Note- 此命令的意图最有可能是向收费号码发送文本短信。 必须指定手机号码和内容,此外还可能执行其他两项操作:黑名单 — 若指定,手机号码将发送至远程服务器,检查是否已经列入黑名单。如果已列入黑名单,则不会发送短信。 服务的 URL 必须作为命令参数发送,黑名单检查将通过发送如下格式的请求执行: ($blacklist_url) + “/?tel=” + 手机号码 响应阻止 — Android.Pjapps 还将侦听传入的短信,允许 note 命令指定删除符合某些条件的传入短信的规则,以保证用户不会看到这些短信。 支持的过滤器包括短信开始和结尾字符串。push- 此命令将执行 SMS 垃圾短信发送操作,需要如下参数: —文本短信的内容 — 在短信内容末尾处添加的 URL — 作为文本短信发送目标的手机号码,用 ‘#’ 分隔 soft- 此命令用于在遭到入侵的设备上安装程序包。 程序包将从远程 URL 下载,该 URL 必须作为参数随命令一同发送。window- 此命令使得手机导航到给定网站。 Android.Pjapps 包含所用浏览器的首选项,将检查以下浏览器是否存在:com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark- mark 命令用于向遭遇入侵的设备添加书签。 在服务最初启动时,Android.Pjapps 还有可能默认向设备添加以下书签:xbox- 已在 Android.Pjapps 解析代码中发现此命令,但似乎并未实际实施。

A.PJApp.2

名称 A.PJApp.2
类别
发布日期 2011/03/09
更新编号 1

PJApps 通常出现在基于官方 Android 市场应用程序的盗版应用程序中,其中封装了恶意代码,并以合法应用程序的身份发布到中国第三方应用程序商店中。 在该木马执行时,它会请求执行以下操作的权限: - 打开网络套接字 - 发送和监控传入的 SMS 短信 - 读取和写入用户的浏览历史记录和书签 - 安装程序包 - 写入外部存储 - 读取手机状态(即,停机、关闭无线功能等) 随后它将创建一个在后台运行的服务。 在设备的接收信号发生变化时,威胁启动程序将被触发。 在服务启动时,它会尝试使用以下 URL 自我注册:http://mobile.meego91.com/mm.do?..[PARAMETERS] 注意: [PARAMETERS] 是一个变量,其中包含来自设备的以下信息 - IMEI - 设备 ID - 线数 - 订阅者 ID - SIM 卡序列号 该威胁可能向由攻击者控制的手机号码发送一条短信,提供受感染设备的 IMEI 编号。 作为此短信发送目标的手机号码将从以下 URL 获取:http://log.meego91.com:9033/android.log?[PARAMETERS] 该威胁会从以下位置下载命令:http://xml.meego91.com:8118/push/newandroidxml/… 这些命令包含于一个 .xml 文件中,其中包含如下命令: Note- 此命令的意图最有可能是向收费号码发送文本短信。 必须指定手机号码和内容,此外还可能执行其他两项操作:黑名单 — 若指定,手机号码将发送至远程服务器,检查是否已经列入黑名单。如果已列入黑名单,则不会发送短信。 服务的 URL 必须作为命令参数发送,黑名单检查将通过发送如下格式的请求执行: ($blacklist_url) + “/?tel=” + 手机号码 响应阻止 — Android.Pjapps 还将侦听传入的短信,允许 note 命令指定删除符合某些条件的传入短信的规则,以保证用户不会看到这些短信。 支持的过滤器包括短信开始和结尾字符串。push- 此命令将执行 SMS 垃圾短信发送操作,需要如下参数: —文本短信的内容 — 在短信内容末尾处添加的 URL — 作为文本短信发送目标的手机号码,用 ‘#’ 分隔 soft- 此命令用于在遭到入侵的设备上安装程序包。 程序包将从远程 URL 下载,该 URL 必须作为参数随命令一同发送。window- 此命令使得手机导航到给定网站。 Android.Pjapps 包含所用浏览器的首选项,将检查以下浏览器是否存在:com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark- mark 命令用于向遭遇入侵的设备添加书签。 在服务最初启动时,Android.Pjapps 还有可能默认向设备添加以下书签:xbox- 已在 Android.Pjapps 解析代码中发现此命令,但似乎并未实际实施。

A.PJApp.3

名称 A.PJApp.3
类别
发布日期 2011/03/09
更新编号 1

PJApps 通常出现在基于官方 Android 市场应用程序的盗版应用程序中,其中封装了恶意代码,并以合法应用程序的身份发布到中国第三方应用程序商店中。 在该木马执行时,它会请求执行以下操作的权限: - 打开网络套接字 - 发送和监控传入的 SMS 短信 - 读取和写入用户的浏览历史记录和书签 - 安装程序包 - 写入外部存储 - 读取手机状态(即,停机、关闭无线功能等) 随后它将创建一个在后台运行的服务。 在设备的接收信号发生变化时,威胁启动程序将被触发。 在服务启动时,它会尝试使用以下 URL 自我注册:http://mobile.meego91.com/mm.do?..[PARAMETERS] 注意: [PARAMETERS] 是一个变量,其中包含来自设备的以下信息 - IMEI - 设备 ID - 线数 - 订阅者 ID - SIM 卡序列号 该威胁可能向由攻击者控制的手机号码发送一条短信,提供受感染设备的 IMEI 编号。 作为此短信发送目标的手机号码将从以下 URL 获取:http://log.meego91.com:9033/android.log?[PARAMETERS] 该威胁会从以下位置下载命令:http://xml.meego91.com:8118/push/newandroidxml/… 这些命令包含于一个 .xml 文件中,其中包含如下命令: Note- 此命令的意图最有可能是向收费号码发送文本短信。 必须指定手机号码和内容,此外还可能执行其他两项操作:黑名单 — 若指定,手机号码将发送至远程服务器,检查是否已经列入黑名单。如果已列入黑名单,则不会发送短信。 服务的 URL 必须作为命令参数发送,黑名单检查将通过发送如下格式的请求执行: ($blacklist_url) + “/?tel=” + 手机号码 响应阻止 — Android.Pjapps 还将侦听传入的短信,允许 note 命令指定删除符合某些条件的传入短信的规则,以保证用户不会看到这些短信。 支持的过滤器包括短信开始和结尾字符串。push- 此命令将执行 SMS 垃圾短信发送操作,需要如下参数: —文本短信的内容 — 在短信内容末尾处添加的 URL — 作为文本短信发送目标的手机号码,用 ‘#’ 分隔 soft- 此命令用于在遭到入侵的设备上安装程序包。 程序包将从远程 URL 下载,该 URL 必须作为参数随命令一同发送。window- 此命令使得手机导航到给定网站。 Android.Pjapps 包含所用浏览器的首选项,将检查以下浏览器是否存在:com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark- mark 命令用于向遭遇入侵的设备添加书签。 在服务最初启动时,Android.Pjapps 还有可能默认向设备添加以下书签:xbox- 已在 Android.Pjapps 解析代码中发现此命令,但似乎并未实际实施。

A.PJApp.4

名称 A.PJApp.4
类别
发布日期 2011/03/09
更新编号 1

PJApps 通常出现在基于官方 Android 市场应用程序的盗版应用程序中,其中封装了恶意代码,并以合法应用程序的身份发布到中国第三方应用程序商店中。 在该木马执行时,它会请求执行以下操作的权限: - 打开网络套接字 - 发送和监控传入的 SMS 短信 - 读取和写入用户的浏览历史记录和书签 - 安装程序包 - 写入外部存储 - 读取手机状态(即,停机、关闭无线功能等) 随后它将创建一个在后台运行的服务。 在设备的接收信号发生变化时,威胁启动程序将被触发。 在服务启动时,它会尝试使用以下 URL 自我注册:http://mobile.meego91.com/mm.do?..[PARAMETERS] 注意: [PARAMETERS] 是一个变量,其中包含来自设备的以下信息 - IMEI - 设备 ID - 线数 - 订阅者 ID - SIM 卡序列号 该威胁可能向由攻击者控制的手机号码发送一条短信,提供受感染设备的 IMEI 编号。 作为此短信发送目标的手机号码将从以下 URL 获取:http://log.meego91.com:9033/android.log?[PARAMETERS] 该威胁会从以下位置下载命令:http://xml.meego91.com:8118/push/newandroidxml/… 这些命令包含于一个 .xml 文件中,其中包含如下命令: Note- 此命令的意图最有可能是向收费号码发送文本短信。 必须指定手机号码和内容,此外还可能执行其他两项操作:黑名单 — 若指定,手机号码将发送至远程服务器,检查是否已经列入黑名单。如果已列入黑名单,则不会发送短信。 服务的 URL 必须作为命令参数发送,黑名单检查将通过发送如下格式的请求执行: ($blacklist_url) + “/?tel=” + 手机号码 响应阻止 — Android.Pjapps 还将侦听传入的短信,允许 note 命令指定删除符合某些条件的传入短信的规则,以保证用户不会看到这些短信。 支持的过滤器包括短信开始和结尾字符串。push- 此命令将执行 SMS 垃圾短信发送操作,需要如下参数: —文本短信的内容 — 在短信内容末尾处添加的 URL — 作为文本短信发送目标的手机号码,用 ‘#’ 分隔 soft- 此命令用于在遭到入侵的设备上安装程序包。 程序包将从远程 URL 下载,该 URL 必须作为参数随命令一同发送。window- 此命令使得手机导航到给定网站。 Android.Pjapps 包含所用浏览器的首选项,将检查以下浏览器是否存在:com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark- mark 命令用于向遭遇入侵的设备添加书签。 在服务最初启动时,Android.Pjapps 还有可能默认向设备添加以下书签:xbox- 已在 Android.Pjapps 解析代码中发现此命令,但似乎并未实际实施。

A.PJApp.5

名称 A.PJApp.5
类别
发布日期 2011/03/09
更新编号 1

PJApps 通常出现在基于官方 Android 市场应用程序的盗版应用程序中,其中封装了恶意代码,并以合法应用程序的身份发布到中国第三方应用程序商店中。 在该木马执行时,它会请求执行以下操作的权限: - 打开网络套接字 - 发送和监控传入的 SMS 短信 - 读取和写入用户的浏览历史记录和书签 - 安装程序包 - 写入外部存储 - 读取手机状态(即,停机、关闭无线功能等) 随后它将创建一个在后台运行的服务。 在设备的接收信号发生变化时,威胁启动程序将被触发。 在服务启动时,它会尝试使用以下 URL 自我注册:http://mobile.meego91.com/mm.do?..[PARAMETERS] 注意: [PARAMETERS] 是一个变量,其中包含来自设备的以下信息 - IMEI - 设备 ID - 线数 - 订阅者 ID - SIM 卡序列号 该威胁可能向由攻击者控制的手机号码发送一条短信,提供受感染设备的 IMEI 编号。 作为此短信发送目标的手机号码将从以下 URL 获取:http://log.meego91.com:9033/android.log?[PARAMETERS] 该威胁会从以下位置下载命令:http://xml.meego91.com:8118/push/newandroidxml/… 这些命令包含于一个 .xml 文件中,其中包含如下命令: Note- 此命令的意图最有可能是向收费号码发送文本短信。 必须指定手机号码和内容,此外还可能执行其他两项操作:黑名单 — 若指定,手机号码将发送至远程服务器,检查是否已经列入黑名单。如果已列入黑名单,则不会发送短信。 服务的 URL 必须作为命令参数发送,黑名单检查将通过发送如下格式的请求执行: ($blacklist_url) + “/?tel=” + 手机号码 响应阻止 — Android.Pjapps 还将侦听传入的短信,允许 note 命令指定删除符合某些条件的传入短信的规则,以保证用户不会看到这些短信。 支持的过滤器包括短信开始和结尾字符串。push- 此命令将执行 SMS 垃圾短信发送操作,需要如下参数: —文本短信的内容 — 在短信内容末尾处添加的 URL — 作为文本短信发送目标的手机号码,用 ‘#’ 分隔 soft- 此命令用于在遭到入侵的设备上安装程序包。 程序包将从远程 URL 下载,该 URL 必须作为参数随命令一同发送。window- 此命令使得手机导航到给定网站。 Android.Pjapps 包含所用浏览器的首选项,将检查以下浏览器是否存在:com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark- mark 命令用于向遭遇入侵的设备添加书签。 在服务最初启动时,Android.Pjapps 还有可能默认向设备添加以下书签:xbox- 已在 Android.Pjapps 解析代码中发现此命令,但似乎并未实际实施。

A.PJApp.6

名称 A.PJApp.6
类别
发布日期 2011/03/09
更新编号 1

PJApps 通常出现在基于官方 Android 市场应用程序的盗版应用程序中,其中封装了恶意代码,并以合法应用程序的身份发布到中国第三方应用程序商店中。 在该木马执行时,它会请求执行以下操作的权限: - 打开网络套接字 - 发送和监控传入的 SMS 短信 - 读取和写入用户的浏览历史记录和书签 - 安装程序包 - 写入外部存储 - 读取手机状态(即,停机、关闭无线功能等) 随后它将创建一个在后台运行的服务。 在设备的接收信号发生变化时,威胁启动程序将被触发。 在服务启动时,它会尝试使用以下 URL 自我注册:http://mobile.meego91.com/mm.do?..[PARAMETERS] 注意: [PARAMETERS] 是一个变量,其中包含来自设备的以下信息 - IMEI - 设备 ID - 线数 - 订阅者 ID - SIM 卡序列号 该威胁可能向由攻击者控制的手机号码发送一条短信,提供受感染设备的 IMEI 编号。 作为此短信发送目标的手机号码将从以下 URL 获取:http://log.meego91.com:9033/android.log?[PARAMETERS] 该威胁会从以下位置下载命令:http://xml.meego91.com:8118/push/newandroidxml/… 这些命令包含于一个 .xml 文件中,其中包含如下命令: Note- 此命令的意图最有可能是向收费号码发送文本短信。 必须指定手机号码和内容,此外还可能执行其他两项操作:黑名单 — 若指定,手机号码将发送至远程服务器,检查是否已经列入黑名单。如果已列入黑名单,则不会发送短信。 服务的 URL 必须作为命令参数发送,黑名单检查将通过发送如下格式的请求执行: ($blacklist_url) + “/?tel=” + 手机号码 响应阻止 — Android.Pjapps 还将侦听传入的短信,允许 note 命令指定删除符合某些条件的传入短信的规则,以保证用户不会看到这些短信。 支持的过滤器包括短信开始和结尾字符串。push- 此命令将执行 SMS 垃圾短信发送操作,需要如下参数: —文本短信的内容 — 在短信内容末尾处添加的 URL — 作为文本短信发送目标的手机号码,用 ‘#’ 分隔 soft- 此命令用于在遭到入侵的设备上安装程序包。 程序包将从远程 URL 下载,该 URL 必须作为参数随命令一同发送。window- 此命令使得手机导航到给定网站。 Android.Pjapps 包含所用浏览器的首选项,将检查以下浏览器是否存在:com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark- mark 命令用于向遭遇入侵的设备添加书签。 在服务最初启动时,Android.Pjapps 还有可能默认向设备添加以下书签:xbox- 已在 Android.Pjapps 解析代码中发现此命令,但似乎并未实际实施。

A.PJApp.7

名称 A.PJApp.7
类别
发布日期 2011/03/09
更新编号 1

PJApps 通常出现在基于官方 Android 市场应用程序的盗版应用程序中,其中封装了恶意代码,并以合法应用程序的身份发布到中国第三方应用程序商店中。 在该木马执行时,它会请求执行以下操作的权限: - 打开网络套接字 - 发送和监控传入的 SMS 短信 - 读取和写入用户的浏览历史记录和书签 - 安装程序包 - 写入外部存储 - 读取手机状态(即,停机、关闭无线功能等) 随后它将创建一个在后台运行的服务。 在设备的接收信号发生变化时,威胁启动程序将被触发。 在服务启动时,它会尝试使用以下 URL 自我注册:http://mobile.meego91.com/mm.do?..[PARAMETERS] 注意: [PARAMETERS] 是一个变量,其中包含来自设备的以下信息 - IMEI - 设备 ID - 线数 - 订阅者 ID - SIM 卡序列号 该威胁可能向由攻击者控制的手机号码发送一条短信,提供受感染设备的 IMEI 编号。 作为此短信发送目标的手机号码将从以下 URL 获取:http://log.meego91.com:9033/android.log?[PARAMETERS] 该威胁会从以下位置下载命令:http://xml.meego91.com:8118/push/newandroidxml/… 这些命令包含于一个 .xml 文件中,其中包含如下命令: Note- 此命令的意图最有可能是向收费号码发送文本短信。 必须指定手机号码和内容,此外还可能执行其他两项操作:黑名单 — 若指定,手机号码将发送至远程服务器,检查是否已经列入黑名单。如果已列入黑名单,则不会发送短信。 服务的 URL 必须作为命令参数发送,黑名单检查将通过发送如下格式的请求执行: ($blacklist_url) + “/?tel=” + 手机号码 响应阻止 — Android.Pjapps 还将侦听传入的短信,允许 note 命令指定删除符合某些条件的传入短信的规则,以保证用户不会看到这些短信。 支持的过滤器包括短信开始和结尾字符串。push- 此命令将执行 SMS 垃圾短信发送操作,需要如下参数: —文本短信的内容 — 在短信内容末尾处添加的 URL — 作为文本短信发送目标的手机号码,用 ‘#’ 分隔 soft- 此命令用于在遭到入侵的设备上安装程序包。 程序包将从远程 URL 下载,该 URL 必须作为参数随命令一同发送。window- 此命令使得手机导航到给定网站。 Android.Pjapps 包含所用浏览器的首选项,将检查以下浏览器是否存在:com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark- mark 命令用于向遭遇入侵的设备添加书签。 在服务最初启动时,Android.Pjapps 还有可能默认向设备添加以下书签:xbox- 已在 Android.Pjapps 解析代码中发现此命令,但似乎并未实际实施。

A.PJApp.8

名称 A.PJApp.8
类别
发布日期 2011/03/29
更新编号 1

PJApps 通常出现在基于官方 Android 市场应用程序的盗版应用程序中,其中封装了恶意代码,并以合法应用程序的身份发布到中国第三方应用程序商店中。 在该木马执行时,它会请求执行以下操作的权限: - 打开网络套接字 - 发送和监控传入的 SMS 短信 - 读取和写入用户的浏览历史记录和书签 - 安装程序包 - 写入外部存储 - 读取手机状态(即,停机、关闭无线功能等) 随后它将创建一个在后台运行的服务。 在设备的接收信号发生变化时,威胁启动程序将被触发。 在服务启动时,它会尝试使用以下 URL 自我注册:http://mobile.meego91.com/mm.do?..[PARAMETERS] 注意: [PARAMETERS] 是一个变量,其中包含来自设备的以下信息 - IMEI - 设备 ID - 线数 - 订阅者 ID - SIM 卡序列号 该威胁可能向由攻击者控制的手机号码发送一条短信,提供受感染设备的 IMEI 编号。 作为此短信发送目标的手机号码将从以下 URL 获取:http://log.meego91.com:9033/android.log?[PARAMETERS] 该威胁会从以下位置下载命令:http://xml.meego91.com:8118/push/newandroidxml/… 这些命令包含于一个 .xml 文件中,其中包含如下命令: Note- 此命令的意图最有可能是向收费号码发送文本短信。 必须指定手机号码和内容,此外还可能执行其他两项操作:黑名单 — 若指定,手机号码将发送至远程服务器,检查是否已经列入黑名单。如果已列入黑名单,则不会发送短信。 服务的 URL 必须作为命令参数发送,黑名单检查将通过发送如下格式的请求执行: ($blacklist_url) + “/?tel=” + 手机号码 响应阻止 — Android.Pjapps 还将侦听传入的短信,允许 note 命令指定删除符合某些条件的传入短信的规则,以保证用户不会看到这些短信。 支持的过滤器包括短信开始和结尾字符串。push- 此命令将执行 SMS 垃圾短信发送操作,需要如下参数: —文本短信的内容 — 在短信内容末尾处添加的 URL — 作为文本短信发送目标的手机号码,用 ‘#’ 分隔 soft- 此命令用于在遭到入侵的设备上安装程序包。 程序包将从远程 URL 下载,该 URL 必须作为参数随命令一同发送。window- 此命令使得手机导航到给定网站。 Android.Pjapps 包含所用浏览器的首选项,将检查以下浏览器是否存在:com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark- mark 命令用于向遭遇入侵的设备添加书签。 在服务最初启动时,Android.Pjapps 还有可能默认向设备添加以下书签:xbox- 已在 Android.Pjapps 解析代码中发现此命令,但似乎并未实际实施。

A.PJApp.9

名称 A.PJApp.9
类别
发布日期 2011/03/29
更新编号 1

PJApps 通常出现在基于官方 Android 市场应用程序的盗版应用程序中,其中封装了恶意代码,并以合法应用程序的身份发布到中国第三方应用程序商店中。 在该木马执行时,它会请求执行以下操作的权限: - 打开网络套接字 - 发送和监控传入的 SMS 短信 - 读取和写入用户的浏览历史记录和书签 - 安装程序包 - 写入外部存储 - 读取手机状态(即,停机、关闭无线功能等) 随后它将创建一个在后台运行的服务。 在设备的接收信号发生变化时,威胁启动程序将被触发。 在服务启动时,它会尝试使用以下 URL 自我注册:http://mobile.meego91.com/mm.do?..[PARAMETERS] 注意: [PARAMETERS] 是一个变量,其中包含来自设备的以下信息 - IMEI - 设备 ID - 线数 - 订阅者 ID - SIM 卡序列号 该威胁可能向由攻击者控制的手机号码发送一条短信,提供受感染设备的 IMEI 编号。 作为此短信发送目标的手机号码将从以下 URL 获取:http://log.meego91.com:9033/android.log?[PARAMETERS] 该威胁会从以下位置下载命令:http://xml.meego91.com:8118/push/newandroidxml/… 这些命令包含于一个 .xml 文件中,其中包含如下命令: Note- 此命令的意图最有可能是向收费号码发送文本短信。 必须指定手机号码和内容,此外还可能执行其他两项操作:黑名单 — 若指定,手机号码将发送至远程服务器,检查是否已经列入黑名单。如果已列入黑名单,则不会发送短信。 服务的 URL 必须作为命令参数发送,黑名单检查将通过发送如下格式的请求执行: ($blacklist_url) + “/?tel=” + 手机号码 响应阻止 — Android.Pjapps 还将侦听传入的短信,允许 note 命令指定删除符合某些条件的传入短信的规则,以保证用户不会看到这些短信。 支持的过滤器包括短信开始和结尾字符串。push- 此命令将执行 SMS 垃圾短信发送操作,需要如下参数: —文本短信的内容 — 在短信内容末尾处添加的 URL — 作为文本短信发送目标的手机号码,用 ‘#’ 分隔 soft- 此命令用于在遭到入侵的设备上安装程序包。 程序包将从远程 URL 下载,该 URL 必须作为参数随命令一同发送。window- 此命令使得手机导航到给定网站。 Android.Pjapps 包含所用浏览器的首选项,将检查以下浏览器是否存在:com.uc.browser com.tencent.mtt com.opera.mini.android mobi.mgeek.TunnyBrowser com.skyfire.browser com.kolbysoft.steel com.android.browser android.paojiao.cn ct2.paojiao.cn g3g3.cn mark- mark 命令用于向遭遇入侵的设备添加书签。 在服务最初启动时,Android.Pjapps 还有可能默认向设备添加以下书签:xbox- 已在 Android.Pjapps 解析代码中发现此命令,但似乎并未实际实施。

A.PirateText.a

名称 A.PirateText.a
类别
发布日期 2011/03/29
更新编号 1

PirateText 是热门 Android 应用程序“Walk and Text”的盗版版本。 在“Walk and Text”发布到市场上的应用程序遭遇盗版,盗版程序包中编入恶意代码,并以合法版本的形式在第三方应用程序商店中再次发布之后,其正式开发人员在几个小时内就在 Android 市场上发布了这款应用程序的新版本。 在应用程序市场中遭遇盗版的版本为 1.3.6 版。 应用程序市场上的当前版本为 1.5.3 版。 包含恶意代码的版本为 1.3.7 版。 就我们所知,1.3.7 版并非 Incorporate Apps 推出的合法应用程序的正式更新。 尽管显示为 1.3.7 版,但实际上是写入了恶意代码的 1.3.6 版,并签署了一个并非 Incorporate Apps 所用的自签名证书。 这清晰表明了有其他人重新打包了这个应用程序,因为他们无法访问原始开发人员的合法证书。 在用户看来,恶意的“Walk and Text v1.3.7”应用程序在运行时似乎一切正常。 但它会在后台向设备的所有联系人发送一条 SMS 短信,内容如下: “Hey,just downlaoded a pirated App off the Internet, Walk and Text for Android. Im stupid and cheap,it costed only 1 buck.Don\’t steal like I did!”(嗨,我刚从网上下载了盗版的 Walk and Text Android 版应用程序,我真是傻透了,正版只要 1 块钱,千万别像我这样,做这种偷鸡摸狗的事情!)“Walk and Text v1.3.7”只会向设备联系人发送这种骚扰 SMS 短信。 这条 SMS 短信的本意在于告诉大家下载盗版应用程序是不道德的行为,但他们所用的方法本身就不道德。

A.Plankton.1

名称 A.Plankton.1
类别
发布日期 2011/09/07
更新编号 7

Plankton 是包含于盗版、含木马的应用程序中的 Android 恶意软件。 Plankton 最初由北卡罗来纳州大学的研究人员发现,他们发现受 Plankton 感染的应用程序会利用能够在 Android 设备中暗自运行的 Dalvik 类加载功能。 在受感染的应用程序安装到设备上后,恶意软件会添加一项后台服务,在执行应用程序时自动启动。 此后台服务能够收集受感染 Android 设备的识别信息,例如 IMEI 等,并收集主机应用程序请求的权限列表,将其发送到远程服务器。 在服务器收到这些信息后,会发回一个 URL,供设备上的恶意软件访问,从中检索一个能够自动自行加载的 .jar 文件,在受感染的 Android 设备上实现类似于僵尸网络的功能。 下载的 .jar 文件还会继续检索其他信息,例如浏览器历史记录和书签,也会转储设备 adb 日志,并且能够捕获设备上存储的帐户凭据。

A.Plankton.2

名称 A.Plankton.2
类别
发布日期 2011/09/07
更新编号 7

Plankton 是包含于盗版、含木马的应用程序中的 Android 恶意软件。 Plankton 最初由北卡罗来纳州大学的研究人员发现,他们发现受 Plankton 感染的应用程序会利用能够在 Android 设备中暗自运行的 Dalvik 类加载功能。 在受感染的应用程序安装到设备上后,恶意软件会添加一项后台服务,在执行应用程序时自动启动。 此后台服务能够收集受感染 Android 设备的识别信息,例如 IMEI 等,并收集主机应用程序请求的权限列表,将其发送到远程服务器。 在服务器收到这些信息后,会发回一个 URL,供设备上的恶意软件访问,从中检索一个能够自动自行加载的 .jar 文件,在受感染的 Android 设备上实现类似于僵尸网络的功能。 下载的 .jar 文件还会继续检索其他信息,例如浏览器历史记录和书签,也会转储设备 adb 日志,并且能够捕获设备上存储的帐户凭据。

A.Plankton.3

名称 A.Plankton.3
类别
发布日期 2011/09/07
更新编号 7

Plankton 是包含于盗版、含木马的应用程序中的 Android 恶意软件。 Plankton 最初由北卡罗来纳州大学的研究人员发现,他们发现受 Plankton 感染的应用程序会利用能够在 Android 设备中暗自运行的 Dalvik 类加载功能。 在受感染的应用程序安装到设备上后,恶意软件会添加一项后台服务,在执行应用程序时自动启动。 此后台服务能够收集受感染 Android 设备的识别信息,例如 IMEI 等,并收集主机应用程序请求的权限列表,将其发送到远程服务器。 在服务器收到这些信息后,会发回一个 URL,供设备上的恶意软件访问,从中检索一个能够自动自行加载的 .jar 文件,在受感染的 Android 设备上实现类似于僵尸网络的功能。 下载的 .jar 文件还会继续检索其他信息,例如浏览器历史记录和书签,也会转储设备 adb 日志,并且能够捕获设备上存储的账户凭据。

A.Plankton.4

名称 A.Plankton.4
类别
发布日期 2011/09/07
更新编号 7

Plankton 是包含于盗版、含木马的应用程序中的 Android 恶意软件。 Plankton 最初由北卡罗来纳州大学的研究人员发现,他们发现受 Plankton 感染的应用程序会利用能够在 Android 设备中暗自运行的 Dalvik 类加载功能。 在受感染的应用程序安装到设备上后,恶意软件会添加一项后台服务,在执行应用程序时自动启动。 此后台服务能够收集受感染 Android 设备的识别信息,例如 IMEI 等,并收集主机应用程序请求的权限列表,将其发送到远程服务器。 在服务器收到这些信息后,会发回一个 URL,供设备上的恶意软件访问,从中检索一个能够自动自行加载的 .jar 文件,在受感染的 Android 设备上实现类似于僵尸网络的功能。 下载的 .jar 文件还会继续检索其他信息,例如浏览器历史记录和书签,也会转储设备 adb 日志,并且能够捕获设备上存储的账户凭据。

A.SPPush.2

名称 A.SPPush.2
类别
发布日期 2012/01/27
更新编号 47

A.SPPush 是一种针对中国 Android 用户的恶意应用程序,通过第三方 Web 商店分发。 它利用中国常见的基于 SMS 短信的订阅系统,在用户毫不知情的情况下为其注册某些服务。

A.SPPush.3

名称 A.SPPush.3
类别
发布日期 2012/01/27
更新编号 47

A.SPPush 是一种针对中国 Android 用户的恶意应用程序,通过第三方 Web 商店分发。 它利用中国常见的基于 SMS 短信的订阅系统,在用户毫不知情的情况下为其注册某些服务。

A.SPPush.a

名称 A.SPPush.a
类别
发布日期 2012/01/27
更新编号 47

A.SPPush.a 是一种针对中国 Android 用户的恶意应用程序,通过第三方 Web 商店分发。 它利用中国常见的基于 SMS 短信的订阅系统,在用户毫不知情的情况下为其注册某些服务。

A.SPPush.b

名称 A.SPPush.b
类别
发布日期 2012/01/27
更新编号 47

A.SPPush.b 是一种针对中国 Android 用户的恶意应用程序,通过第三方 Web 商店分发。 它利用中国常见的基于 SMS 短信的订阅系统,在用户毫不知情的情况下为其注册某些服务。

A.Skypwned.a

名称 A.Skypwned.a
类别
发布日期 2011/04/19
更新年好 1

Skypwned 是一种概念验证 (POC) 应用程序,专门开发用于演示利用 Skype for Android 漏洞的能力。 Skypwned POC 并无明显恶意,但如果检测到此应用程序,仍然应该将其从设备中删除。

A.SndApps.a

名称 A.SndApps.a
类别
发布日期 2011/09/07
更新编号 7

SndApps 是一种 Android 恶意软件,包含于似乎为 Android 设备游戏的应用程序中。 SndApps 会访问各种类型的设备识别信息,并将其转发给远程服务器。 它会访问和传输如下信息: - 电信运营商/服务提供商 - 国家/地区代码 - 设备 ID/IMEI 编号 - 与设备相关的电子邮件地址 - 手机号码 感染 SndApps 的应用程序似乎并非来自于将源自合法开发人员的应用程序重新打包。 似乎是创建原始应用程序的相同开发人员在后续版本中加入了恶意代码。 这些应用程序最初在官方 Android 市场上架,但随后即被删除。

A.Spitmo.c

名称 A.Spitmo.c
类别
发布日期 2012/01/27
更新编号 47

SPITMO/SpyEye 是一种 Android 恶意软件,PC 感染了 PC 恶意软件 SpyEye 的用户会受其影响。 在受感染 PC 的用户浏览其网上银行网站时,SpyEye 能够向银行网页注入内容,尝试哄骗用户相信银行要求其提供手机号码,从而便于使用 mTan 短信进行带外身份验证。mTan 短信是银行发送给移动用户设备的一次性代码,用于在用户登录网上银行网站时验证身份。 在 SpyEye 得到用户的移动设备号码后,就会通过注入的内容告诉用户必须下载一个“证书”,以便在设备上正确实施 mTan 身份验证。 实际上,用户已将手机号码提供给了 SpyEye,并受骗安装了 SpyEye 移动间谍软件应用程序,该应用程序会监控和捕获银行机构发来的 mTan 号码。 SpyEye 的配置能够确定通过 SMS 短信传入设备的 mTan 号码,随后将其发送到第三方服务器,供攻击者用于获得受害者网上银行网站的访问权限。

A.SpyBubble.b

名称 A.SpyBubble.b
类别
发布日期 2012/01/27
更新编号 47

Spy Bubble 是一种暗中跟踪 GPS 的软件,面向 Android 手机。 Spy Bubble 与市面上的其他 Android 跟踪应用程序极为相似,提供“隐藏”的 GPS 跟踪和各种监控/间谍功能(例如 Mobile Spy)。

Spy Bubble 可跟踪以下行为:

GPS 位置
Android 设备发送/接收的 SMS 短信。
查看通话日志

A.Spybub.a

名称 A.Spybub.a
类别
发布日期 2010/03/03
更新编号 1

Spy Bubble 是一种暗中跟踪 GPS 的软件,面向 Android 手机。 Spy Bubble 与市面上的其他 Android 跟踪应用程序极为相似,提供“隐藏”的 GPS 跟踪和各种监控/间谍功能(例如 Mobile Spy)。

Spy Bubble 可跟踪以下行为:

GPS 位置
Android 设备发送/接收的 SMS 短信。
查看通话日志

A.Thefty.gen2

名称 A.Thefty.gen2
类别
发布日期 2010/12/01
更新编号 1

Theft Aware 是一种防窃应用程序,但有可能造成在用户不知情的情况下非法监控其 GPS 位置。

Theft Aware 是一种可用于 Symbian 和 Android 设备的商业应用程序,用于定位丢失或被窃的移动设备。

Theft Aware 提供以下功能:

GPS 位置监控
被窃模式
远程锁定/擦除
发出警报声
擦除数据
检索 SMS 短信
静默拨打电话以监控环境噪声
SMS 命令

尽管 Theft Aware 为用户提供了可行的服务,但此应用程序之所以被标为间谍软件,是因为它能主动在设备上隐藏自身,避免被不知情的用户检测到,而且可能被用作非法刺探用户活动和通信情况的工具。

A.Typstu

名称 A.Typstu
类别
发布日期 2012/01/27
更新编号 47

Android/TypStu.D 向第三方网站发送敏感信息。此恶意软件要求用户主动将其安装在设备上。

A.YzhcSms.1

名称 A.YzhcSms.1
类别
发布日期 2012/01/27
更新编号 47

YZHCSMS 是一种 Android 木马应用程序,程序包名称为“com.ppxiu”,开发人员为“Gengine”。 该应用程序在 Android 市场中已不再提供,但亚洲的第三方应用商店仍有提供。 名为“YZHCSMS”的恶意软件似乎仅针对亚洲市场,它通过联络脱机网站获取收费号码列表(短号,可向其发送 SMS 短信 — 就像为“美国偶像”节目投票一样),通过这种方式开始发送 SMS 短信,短信内容均以“YZHC”开头。 将从 Web 服务器检索到的收费号码与硬编码号码列表组合后,“YZHCSMS”会每隔 50 分钟向目标发送一条 SMS/文本短信息,每条短信都会向用户收取费用,具体数额依用户的收费计划而不同。 该 SMS 木马作为后台进程运行,在设备启动或受感染应用程序执行时启动。 除了作为后台线程运行的能力之外,YZHCSMS SMS 木马还会尝试删除其发送的任何 SMS 短信,删除可能因先前发送的收费短信而收到的 SMS 计费短信,从而进一步掩盖自身的本质。 这种 SMS 木马的一些变体仅能删除与恶意软件中硬编码的号码有关的短信,而另一些变体会尝试删除与从脱机服务器中检索到的号码有关的短信。 我们对至少一种变体的分析表明,“YZHCSMS”的各种变体内均硬编码了以下号码: 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 以下号码存在于“mmssender”类中: 052714034192100013309 10086 1240000089393100527140341001 至少一种变体会通过“SMSObserver”类拦截与以下硬编码号码相关的消息: 10086 1065800885566 目前,这些收费号码在亚洲市场以外地区是否有效尚不明确。 Android 市场数据表明,此应用程序的下载量仅有大约 500 次。

A.YzhcSms.2

名称 A.YzhcSms.2
类别
发布日期 2012/01/27
更新编号 47

YZHCSMS 是一种 Android 木马应用程序,程序包名称为“com.ppxiu”,开发人员为“Gengine”。 该应用程序在 Android 市场中已不再提供,但亚洲的第三方应用商店仍有提供。 名为“YZHCSMS”的恶意软件似乎仅针对亚洲市场,它通过联络脱机网站获取收费号码列表(短号,可向其发送 SMS 短信 — 就像为“美国偶像”节目投票一样),通过这种方式开始发送 SMS 短信,短信内容均以“YZHC”开头。 将从 Web 服务器检索到的收费号码与硬编码号码列表组合后,“YZHCSMS”会每隔 50 分钟向目标发送一条 SMS/文本短信息,每条短信都会向用户收取费用,具体数额依用户的收费计划而不同。 该 SMS 木马作为后台进程运行,在设备启动或受感染应用程序执行时启动。 除了作为后台线程运行的能力之外,YZHCSMS SMS 木马还会尝试删除其发送的任何 SMS 短信,删除可能因先前发送的收费短信而收到的 SMS 计费短信,从而进一步掩盖自身的本质。 这种 SMS 木马的一些变体仅能删除与恶意软件中硬编码的号码有关的短信,而另一些变体会尝试删除与从脱机服务器中检索到的号码有关的短信。 我们对至少一种变体的分析表明,“YZHCSMS”的各种变体内均硬编码了以下号码: 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 以下号码存在于“mmssender”类中: 052714034192100013309 10086 1240000089393100527140341001 至少一种变体会通过“SMSObserver”类拦截与以下硬编码号码相关的消息: 10086 1065800885566 目前,这些收费号码在亚洲市场以外地区是否有效尚不明确。 Android 市场数据表明,此应用程序的下载量仅有大约 500 次。

A.Yzhcsms.2

名称 A.Yzhcsms.2
类别
发布日期 2012/01/27
更新编号 47

YZHCSMS 是一种 Android 木马应用程序,程序包名称为“com.ppxiu”,开发人员为“Gengine”。 该应用程序在 Android 市场中已不再提供,但亚洲的第三方应用商店仍有提供。 名为“YZHCSMS”的恶意软件似乎仅针对亚洲市场,它通过联络脱机网站获取收费号码列表(短号,可向其发送 SMS 短信 — 就像为“美国偶像”节目投票一样),通过这种方式开始发送 SMS 短信,短信内容均以“YZHC”开头。 将从 Web 服务器检索到的收费号码与硬编码号码列表组合后,“YZHCSMS”会每隔 50 分钟向目标发送一条 SMS/文本短信息,每条短信都会向用户收取费用,具体数额依用户的收费计划而不同。 该 SMS 木马作为后台进程运行,在设备启动或受感染应用程序执行时启动。 除了作为后台线程运行的能力之外,YZHCSMS SMS 木马还会尝试删除其发送的任何 SMS 短信,删除可能因先前发送的收费短信而收到的 SMS 计费短信,从而进一步掩盖自身的本质。 这种 SMS 木马的一些变体仅能删除与恶意软件中硬编码的号码有关的短信,而另一些变体会尝试删除与从脱机服务器中检索到的号码有关的短信。 我们对至少一种变体的分析表明,“YZHCSMS”的各种变体内均硬编码了以下号码: 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 以下号码存在于“mmssender”类中: 052714034192100013309 10086 1240000089393100527140341001 至少一种变体会通过“SMSObserver”类拦截与以下硬编码号码相关的消息: 10086 1065800885566 目前,这些收费号码在亚洲市场以外地区是否有效尚不明确。 Android 市场数据表明,此应用程序的下载量仅有大约 500 次。

A.Yzhcsms.3

名称 A.Yzhcsms.3
类别
发布日期 2012/01/27
更新编号 47

YZHCSMS 是一种 Android 木马应用程序,程序包名称为“com.ppxiu”,开发人员为“Gengine”。 该应用程序在 Android 市场中已不再提供,但亚洲的第三方应用商店仍有提供。 名为“YZHCSMS”的恶意软件似乎仅针对亚洲市场,它通过联络脱机网站获取收费号码列表(短号,可向其发送 SMS 短信 — 就像为“美国偶像”节目投票一样),通过这种方式开始发送 SMS 短信,短信内容均以“YZHC”开头。 将从 Web 服务器检索到的收费号码与硬编码号码列表组合后,“YZHCSMS”会每隔 50 分钟向目标发送一条 SMS/文本短信息,每条短信都会向用户收取费用,具体数额依用户的收费计划而不同。 该 SMS 木马作为后台进程运行,在设备启动或受感染应用程序执行时启动。 除了作为后台线程运行的能力之外,YZHCSMS SMS 木马还会尝试删除其发送的任何 SMS 短信,删除可能因先前发送的收费短信而收到的 SMS 计费短信,从而进一步掩盖自身的本质。 这种 SMS 木马的一些变体仅能删除与恶意软件中硬编码的号码有关的短信,而另一些变体会尝试删除与从脱机服务器中检索到的号码有关的短信。 我们对至少一种变体的分析表明,“YZHCSMS”的各种变体内均硬编码了以下号码: 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 以下号码存在于“mmssender”类中: 052714034192100013309 10086 1240000089393100527140341001 至少一种变体会通过“SMSObserver”类拦截与以下硬编码号码相关的消息: 10086 1065800885566 目前,这些收费号码在亚洲市场以外地区是否有效尚不明确。 Android 市场数据表明,此应用程序的下载量仅有大约 500 次。

A.Yzhcsms.a

名称 A.Yzhcsms.a
类别
发布日期 2011/09/07
更新编号 7

YZHCSMS 是一种 Android 木马应用程序,程序包名称为“com.ppxiu”,开发人员为“Gengine”。 该应用程序在 Android 市场中已不再提供,但亚洲的第三方应用商店仍有提供。 名为“YZHCSMS”的恶意软件似乎仅针对亚洲市场,它通过联络脱机网站获取收费号码列表(短号,可向其发送 SMS 短信 — 就像为“美国偶像”节目投票一样),通过这种方式开始发送 SMS 短信,短信内容均以“YZHC”开头。 将从 Web 服务器检索到的收费号码与硬编码号码列表组合后,“YZHCSMS”会每隔 50 分钟向目标发送一条 SMS/文本短信息,每条短信都会向用户收取费用,具体数额依用户的收费计划而不同。 该 SMS 木马作为后台进程运行,在设备启动或受感染应用程序执行时启动。 除了作为后台线程运行的能力之外,YZHCSMS SMS 木马还会尝试删除其发送的任何 SMS 短信,删除可能因先前发送的收费短信而收到的 SMS 计费短信,从而进一步掩盖自身的本质。 这种 SMS 木马的一些变体仅能删除与恶意软件中硬编码的号码有关的短信,而另一些变体会尝试删除与从脱机服务器中检索到的号码有关的短信。 我们对至少一种变体的分析表明,“YZHCSMS”的各种变体内均硬编码了以下号码: 1000 10000 10086 100086 123456 617915 19000101 19860102 19861119 91316005 91316007 101011101 12345678911 1065800885566 052714034192100013309 1240000089393100527140341001 以下号码存在于“mmssender”类中: 052714034192100013309 10086 1240000089393100527140341001 至少一种变体会通过“SMSObserver”类拦截与以下硬编码号码相关的消息: 10086 1065800885566 目前,这些收费号码在亚洲市场以外地区是否有效尚不明确。 Android 市场数据表明,此应用程序的下载量仅有大约 500 次。

A.ZSone.gen1

名称 A.ZSone.gen1
类别
发布日期 2012/01/27
更新编号 47

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动帐户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动帐户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户帐户不会因其受感染设备尝试发送的任何短信而被扣款。

A.ZSone.gen2

名称 A.ZSone.gen2
类别
发布日期 2012/01/27
更新编号 47

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动账户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

A.ZSone.gen3

名称 A.ZSone.gen3
类别
发布日期 2011/12/21
更新编号 43

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动账户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

A.Zsone.01

名称 A.Zsone.01
类别
发布日期 2011/05/19
更新编号 1

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动账户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

A.Zsone.02

名称 A.Zsone.02
类别
发布日期 2011/05/19
更新编号 1

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动账户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

A.Zsone.03

名称 A.Zsone.03
类别
发布日期 2011/05/19
更新编号 1

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动账户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

A.Zsone.04

名称 A.Zsone.04
类别
发布日期 2011/05/19
更新编号 1

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动账户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

A.Zsone.05

名称 A.Zsone.05
类别
发布日期 2011/05/19
更新编号 1

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动账户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

A.Zsone.06

名称 A.Zsone.06
类别
发布日期 2011/05/19
更新编号 1

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动账户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

A.Zsone.07

名称 A.Zsone.07
类别
发布日期 2011/05/19
更新编号 1

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动账户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

A.Zsone.08

名称 A.Zsone.08
类别
发布日期 2011/05/19
更新编号 1

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动账户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

A.Zsone.09

名称 A.Zsone.09
类别
发布日期 2011/05/19
更新编号 1

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动账户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

A.Zsone.10

名称 A.Zsone.10
类别
发布日期 2011/05/19
更新编号 1

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动账户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

A.Zsone.11

名称 A.Zsone.11
类别
发布日期 2011/09/07
更新编号 7

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。 在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。 已确认来自开发人员“Zsone”的恶意应用程序包括: LoveBaby iBook iCartoon Sea Ball iCalendar 3D Cube horror terriblei ShakeBanger iMatch 对对碰 Shake Break iSMS iMine 已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效: 10086 1066185829 10000 10010 1066133 10655133 10621900 10626213 106691819 10665123085 10621900 很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如: M6307AHD aAHD 95pAHD 58#28AHD YXX1 921X1 如前所述,这些恶意应用程序尝试为移动账户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

ADRD

名称 ADRD
类别
发布日期 2011/04/01
更新编号 1

ADRD 出现在基于官方应用程序的盗版 Android 应用程序中。 从官方 Android 市场下载 Android 应用程序,将其解压后插入恶意的 ADRD 代码,然后重新打包并在非官方第三方应用程序存储库上分发。 截至目前为止,ADRD 已知仅存在于中国应用程序存储库中,但此威胁可能会相对比较轻松地传播到其他第三方网站。

一旦攻击者能够哄骗用户将应用程序下载到其 SD 卡并执行安装,应用程序就会自行注册,在满足以下条件之一时执行:

自操作系统启动后以来已经过去 12 个小时

网络连接发生变化

设备收到电话通话

随后 ADRD 会尝试收集以下信息:

3gnet
3gwap
APN
cmnet
cmwap
硬件信息
IMEI
IMSI
网络连接
uninet
uniwap
Wifi

接下来,木马病毒软体会对窃取到的信息加密,尝试将其发送到以下位置:
[http://]adrd.taxuan.net/index[REMOVED]
[http://]adrd.xiaxiab.com/pic.[REMOVED]
ADRD 将上述信息发送到远程服务器后,它将收到一系列指令,告诉木马向以下位置发送多条 HTTP 请求,从而启动搜索引擎操纵活动:

wap.baidu.com/s?word=[ENCODED SEARCH STRING]&vit=uni&from=[ID]

这些搜索请求的目的在于提高某个网站的站点排名。

ADRD 还能够下载和安装自身的新版本,从而实现远程更新:
sdcard/uc/myupdate.apk

ANSERVER

名称 ANSERVER
类别
发布日期 2011/09/28
更新编号 39

Anserver 是一系列以 Android 设备为目标的恶意应用程序。 受到 Anserver 感染的应用程序能够连接到恶意软件开发人员控制的远程服务器,在未经用户同意的情况下将其他恶意有效负载下载并安装到设备。 已知 Anserver 还会尝试识别移动安全应用程序并终止它们。 此外,

Anserver 会打包到被木马感染的合法主机应用程序中,以哄骗用户安装。 一旦安装完毕,感染 Anserver 的应用程序就会将恶意有效负载作为“触摸屏”程序安装到设备,哄骗用户接受原始主机的虚假“升级”来完成安装。

安装后,Anserver 将通过多种方式触发:
- 连接更改
- 连接电源
- 连接或断开 USB 大容量存储
- 收到 SMS 短信
- 输入方法更改
- 引导完成
- 设备解锁

在成功启动恶意软件后,Anserver 将联系开发者,检查新的命令与控制 (C&C) 服务器地址。 如果连接成功,Anserver 将以纯文本 XML 的形式收到更新其 C&C 服务器数据库的命令。

最后,Anserver 能够将潜在的敏感设备信息(操作系统版本、IMEI 编号、设备制造商和设备型号)传输给其开发人员

AccuTracking

名称 AccuTracking
类别
发布日期 2011/04/01
更新编号 1

Accutracking for Android

此签名检测 Android 设备上是否存在“Accutracking for Android”应用程序。 Accutracking 是一种能将您的移动设备转为 GPS 跟踪设备的 Android 应用程序。 尽管这些类型的 GPS 跟踪功能是必要也是合法的,但 Accutracking 能够对用户隐藏应用程序。 这类暗箱操作允许未经授权的人员跟踪毫不知情的受害者的位置。

AnserverBot

名称 AnserverBot
类别
发布日期 2011/09/28
更新编号 39

Anserver 是一系列以 Android 设备为目标的恶意应用程序。 受到 Anserver 感染的应用程序能够连接到恶意软件开发人员控制的远程服务器,在未经用户同意的情况下将其他恶意有效负载下载并安装到设备。 已知 Anserver 还会尝试识别移动安全应用程序并终止它们。 此外,

Anserver 会打包到被木马感染的合法主机应用程序中,以哄骗用户安装。 一旦安装完毕,感染 Anserver 的应用程序就会将恶意有效负载作为“触摸屏”程序安装到设备,哄骗用户接受原始主机的虚假“升级”来完成安装。

安装后,Anserver 将通过多种方式触发:
- 连接更改
- 连接电源
- 连接或断开 USB 大容量存储
- 收到 SMS 短信
- 输入方法更改
- 引导完成
- 设备解锁

在成功启动恶意软件后,Anserver 将联系开发者,检查新的命令与控制 (C&C) 服务器地址。 如果连接成功,Anserver 将以纯文本 XML 的形式收到更新其 C&C 服务器数据库的命令。

最后,Anserver 能够将潜在的敏感设备信息(操作系统版本、IMEI 编号、设备制造商和设备型号)传输给其开发人员

Backdoor.AndroidOS.GinMaster.a1

名称 Backdoor.AndroidOS.GinMaster.a1
类别
发布日期 2012/01/25
更新编号 47

GingerMaster 是第一个利用 Android 2.3 (Gingerbread) root 漏洞的 Android 恶意软件,这不同于利用 Android 2.2 及更低版本的 root 漏洞、能够 root 设备以扩展自身功能的先前 Android 恶意软件变体。

GingerMaster 沿袭了将恶意代码重新打包到合法应用程序中的趋势。 安装感染木马的应用程序后,它将注册一个接收器,从而在系统成功引导后收到通知,并在后台启动一项服务,收集设备识别信息并上传到远程服务器。

除了收集此类设备信息之外,感染 GingerMaster 的应用程序还会尝试利用“GingerBreak”root 漏洞,为自身升级 root 权限,并尝试在系统分区中安装一个 root shell,以备稍后使用。

获得 root 权限后,GingerMaster 会尝试连接到远程命令与控制 (C&C) 服务器,并将等待来自僵尸网络主机的指令。 随后,GingerMaster 能够在先前安装的 root shell 中执行“pm install”,从而开始静默下载和安装能够扩展恶意软件功能的其他应用程序。

Backdoor.AndroidOS.GinMaster.a4

名称 Backdoor.AndroidOS.GinMaster.a4
类别
发布日期 2012/01/30
更新编号 50

GingerMaster 是第一个利用 Android 2.3 (Gingerbread) root 漏洞的 Android 恶意软件,这不同于利用 Android 2.2 及更低版本的 root 漏洞、能够 root 设备以扩展自身功能的先前 Android 恶意软件变体。 GingerMaster 沿袭了将恶意代码重新打包到合法应用程序中的趋势。 安装感染木马的应用程序后,它将注册一个接收器,从而在系统成功引导后收到通知,并在后台启动一项服务,收集设备识别信息并上传到远程服务器。 除了收集此类设备信息之外,感染 GingerMaster 的应用程序还会尝试利用“GingerBreak”root 漏洞,为自身升级 root 权限,并尝试在系统分区中安装一个 root shell,以备稍后使用。 获得 root 权限后,GingerMaster 会尝试连接到远程命令与控制 (C&C) 服务器,并将等待来自僵尸网络主机的指令。 随后,GingerMaster 能够在先前安装的 root shell 中执行“pm install”,从而开始静默下载和安装能够扩展恶意软件功能的其他应用程序。

Backdoor.AndroidOS.Kmin.c

名称 Backdoor.AndroidOS.Kmin.c
类别
发布日期 2012/01/25
更新编号 47

KMin 是感染 Android 设备的一种恶意应用程序。 该木马可能表现为名为“KMHome”的 Android 应用程序,并尝试收集设备 ID、订阅者 ID 和设备的当前时间,以发送给远程服务器。

BaseBrid1

名称 BaseBrid1
类别
发布日期 2012/01/25
更新编号 47

BaseBridge 出现在一系列盗版、带木马的主机应用程序中,这些应用程序以看似合法的形式展现给 Android 用户。 感染 BaseBridge 的应用程序利用 Android 2.2 和更低版本设备中的“udev”(BID 34536) 漏洞,获得受感染设备的 root 权限。

获得 root 权限后,感染 BaseBridge 的应用程序将安装其有效负载,即“/res/raw/anservb”内应用程序包中存储的“SMSApp.apk”。 成功安装后,“SMSApp.apk”会通过端口 8080 连接到远程服务器,以发送设备识别信息,例如: “订阅者 ID”、“制造商和型号”以及“Android 版本”。

其次,感染 BaseBridge 的应用程序将配置为向收费 SMS 号码发送一系列 SMS 短信,每条信息都会向用户的手机账户收取费用。 这些扣款几乎一直不会被发现。 BaseBridge 还会删除移动设备收件箱中的 SMS 短信,从而降低用户发现其发送收费 SMS 短信的几率,而且还能在未经呼叫者同意的情况下拨打电话号码。

BaseBridge

名称 BaseBridge
类别
发布日期 2011/06/07
更新编号 1

BaseBridge 出现在一系列盗版、带木马的主机应用程序中,这些应用程序以看似合法的形式展现给 Android 用户。 感染 BaseBridge 的应用程序利用 Android 2.2 和更低版本设备中的“udev”(BID 34536) 漏洞,获得受感染设备的 root 权限。

获得 root 权限后,感染 BaseBridge 的应用程序将安装其有效负载,即“/res/raw/anservb”内应用程序包中存储的“SMSApp.apk”。 成功安装后,“SMSApp.apk”会通过端口 8080 连接到远程服务器,以发送设备识别信息,例如: “订阅者 ID”、“制造商和型号”以及“Android 版本”。

其次,感染 BaseBridge 的应用程序将配置为向收费 SMS 号码发送一系列 SMS 短信,每条信息都会向用户的手机账户收取费用。 这些扣款几乎一直不会被发现。 BaseBridge 还会删除移动设备收件箱中的 SMS 短信,从而降低用户发现其发送收费 SMS 短信的几率,而且还能在未经呼叫者同意的情况下拨打电话号码。

BatteryDoctor

名称 BatteryDoctor
类别
发布日期 2011/10/26
更新编号 39

BatteryDoctor 是一种针对 Android 用户的木马应用程序,以夸大其词的辞藻宣城能够为 Android 设备的电池充电,但 BatteryDoctor 会从设备中捕获以下隐私信息,并将其发送至远程服务器:

- 设备 IMEI 编号
- 手机号码
- 通讯录/联系人数据
- 姓名
- 电子邮件地址

通过 BatteryDoctor 在安装期间请求的权限级别即可看出其真正意图:

- 收集有关当前或近期运行的任务的信息。
- 访问信息并更改 WiFi 状态。
- 发现并连接到配对的蓝牙设备。
- 检查手机当前状态。
- 读取或写入系统设置。
- 写入外部存储设备。
- 打开网络连接。
- 访问有关网络的信息。
- 在设备引导完成后启动。
- 设置手机振动。
- 访问位置信息,例如基站 ID 或 WiFi。
- 读取联系人数据。

Bgserv

名称 Bgserv
类别
发布日期 2011/04/01
更新编号 1

Bgserv 影响 Android 设备,包含于看似合法的盗版、含木马的 Android 应用程序之中。 设备感染 Bgserv 后,原本合法的应用程序中嵌入的恶意软件将尝试收集设备识别信息,并发送给远程服务器。 所收集的信息如下:

- IMEI 编号
- 电话号码
- 安装时间
- Android 版本
- SMS 中心

Bgserv 还会尝试下载可用命令列表,在设备上开启后门,供恶意软件开发人员在设备上启动其他功能,例如:

- 从设备发送 SMS 短信
- 阻止传入的 SMS 短信
- 下载外部链接列表
- 下载其他文件
- 可能更改设备的接入端口名称 (APN)
- 记录其活动以备调试之用

CellPhoneRecon

名称 CellPhoneRecon
类别
发布日期 2011/04/01
更新编号 1

CellPhoneRecon 是一种商业间谍软件应用程序,允许未经授权的人员监控毫不知情的用户的通信和位置。

CellPhoneRecon 会将通信记录和位置数据自动上传到远程服务器,允许他人监控 Android 设备的 SMS 短信、通话日志、已发和已收电子邮件以及 GPS 位置数据。 控制/安装实体随后即可通过 Web 门户访问这些日志和数据。 CellPhoneRecon 能够在拥有设备物理访问权限的情况下安装,随后配置为在隐藏模式下运行。

这些类型的商用间谍/跟踪应用程序能够对用户隐藏自身,给毫不知情的用户造成了特定风险,因此应标为间谍软件并予以检测,提醒用户存在这类应用程序。 如果在知情的情况下,以合法的方式在 Android 设备上安装了 CellPhoneRecon,则用户可以忽视警告。

DDLight-1

名称 DDLight-1
类别
发布日期 2011/05/31
更新编号 1

DroidDream Light 是进入官方 Android 市场的上一代 DroidDream 的变体。 DroidDream Light 与其前身相同,也是出现在盗版、带木马的 Android 应用程序中。 分析表明,这些盗版、带木马的应用程序的恶意特点会在收到来电时表现出来。 启动后,DroidDream Light 将收集以下信息并将其发送给远程服务器:

- IMEI 编号
- 电话号码
- 设备型号
- Android 版本

感染 DroidDream Light 恶意软件的应用程序还能从远程服务器下载其他程序包以供安装。 与前身 DroidDream 不同的是,DroidDream Light 无法在后台安装其他应用程序,因此用户会收到安装提示。

DroidDelux

名称 DroidDelux
类别
发布日期 2011/09/30
更新编号 35

DroidDelux 出现在盗版、含木马的 Android 应用程序中。 DroidDelux 利用“rageagainstthecage”root 漏洞,以静默 root 运行 Android 2.2 或更低版本的 Android 设备。 在设备 root 后,DroidDelux 会将包含用户凭据的几个系统文件设为可读,以便其他应用程序访问这些文件,窃取机密帐户凭据。

在启动后,DroidDelux 会尝试收集敏感设备信息,随后通过 Google Analytics 将其上传给远程攻击者,帐户 ID 为“UA-19670793-1”。

上传给远程攻击者的设备信息如下:

- 手机型号
- 设备制造商
- 设备品牌

包含“已解锁”用户凭据的具体文件如下:

/data/system/accounts.db
/data/data/com.android.email/databases/EmailProvider.db
/data/data/com.android.providers.contacts/databases/contacts2.db
/data/data/com.android.providers.telephony/databases/mmssms.db

这些文件包含用户的机密信息,例如帐户名称、身份验证令牌、联系人等。

分析并未发现感染 DroidDelux 的应用程序中存在其他任何有效负载。

DroidDream

名称 DroidDream
类别
发布日期 2011/04/01
更新编号 1

DroidDream 是 Android 市场上出现的第一种复杂 Android 木马。 多种含木马的盗版应用程序带有 DroidDream,恶意软件开发人员将恶意代码插入合法应用程序中,并将其与合法应用程序一同发布。

DroidDream 利用“rageagainstthecage”root 利用漏洞,获取受感染设备上的 root 权限。 root 完成后,感染 DroidDream 的应用程序包内包含的额外有效负载将在后台静默安装,用户将毫不知情。 这个额外的程序包允许木马捕获设备的以下信息:

- 产品 ID
- 型号
- 服务提供商
- 设备语言
- 设备上配置的用户 ID

随后,此信息将传输到远程服务器

DroidDream 进一步嵌入木马随心所欲地在后台下载和安装其他应用程序的功能。 这种功能会进一步扩展恶意软件的能力,而且用户毫不知情。

DroidDream-Inside

名称 DroidDream-Inside
类别
发布日期 2011/07/27
更新编号 1

DroidDream-Inside 检测感染 DroidDream、在感染之时安装在受害者设备上的应用程序中包含的有效负载。

DroidKungFu

名称 DroidKungFu
类别
发布日期 2011/06/06
更新编号 1

Droid KungFu 是一种面向其他市场中中文用户的 Android 恶意软件,包含于预先打包的盗版、含木马应用程序中,其中包含实现其功能的恶意代码。

Droid KungFun 利用“udev”和“rageagainstthecage”root 漏洞静默获取受感染设备的 root 访问权限。 在安装时,受感染的应用程序将向设备注册新服务和新接收器,接收器将在设备重启时收到通知,并能够在后台自动启动服务。 启动后的服务会解密已加密的 root 攻击有效负载,并对设备发起攻击,尝试升级到 root 权限。

获取 root 权限后,Droid KungFu 将尝试收集要发送给远程服务器的设备信息。 收集的设备信息包括:

- IMEI 编号
- 设备型号
- Android 版本

在恶意软件收集到必要的信息,并将这些信息传输给远程服务器以注册设备之后,Droid KungFu 将利用设备 root 权限,尝试在用户毫不知情的情况下,在后台为设备安装其他程序包。 安装的应用程序“Legacy”会伪装成合法的 Google 搜索应用程序,应用程序图标与之完全相同。 但“Legacy”实际上是一个后门程序,连接到远程服务器以接收有关后续操作的命令和指令,将受感染的设备转变为僵尸机器人。

DroidKungFu2

名称 DroidKungFu2
类别
发布日期 2011/07/04
更新编号 1

Droid KungFu2 是打包在盗版、含木马的 Android 应用程序中的原始 Droid KungFu 恶意软件的变体。 Droid KungFu2 包含与其上一代相同的大多数功能,此外还会尝试掩藏其以 Dalvik 代码(基于 Java)编写的代码部分,并改为使用本机代码。 它还会利用两个额外的命令与控制 (C&C) 域,而其上一代仅使用一个 C&C 域。

这些更改采用可混淆现有检测方法的方式实现,而且能够拖慢分析速度,使得研究人员更难分析和识别恶意软件的通信和其他功能。

DroidKungFu3

名称 DroidKungFu3
类别
发布日期 2011/09/07
更新编号 5

Droid KungFu3 是感染 Android 设备的 Droid KungFun 系列恶意软件中的第三代变体。 与上一代一样,Droid KungFu3 存在于面向 Android 设备的盗版、带木马应用程序中。 Droid KungFu3 进一步尝试掩盖其真正意图。 Droid KungFu2 添加了两个额外的命令与控制 (C&C) 服务器,并将其硬编码到本机代码中,而 Droid KungFu3 实际上加密了全部 3 个 C&C 服务器地址,进一步加大了恶意软件反向工程的难度。

Droid KungFu3 的主要目的不会因细微变化而更改。 与上一代一样,Droid KungFu3 利用两种 root 漏洞之一获得受感染设备的 root 权限。 获取 root 权限后,它会尝试安装一个伪装为虚假 Google 更新应用程序的嵌入 APK(Android 程序包)。

如果嵌入应用程序成功安装,它不会向用户显示应用程序图标。 实际上,所安装的应用程序会开启设备后门,连接到远程服务器以接受指令,将设备转变成一台僵尸机器人。

Eicar

名称 Eicar
类别
发布日期 2011/09/28
更新编号 39

EICAR 防病毒测试应用程序
此应用程序无害。 它并不会损坏您的设备。

此应用程序只是显示类似于这样的一条消息,不会执行其他任何操作。 它不需要安装权限。 它不会读取您的数据、接入互联网或创建任何文件。 除了显示一条消息之外,它不会在后台运行、自动启动,或者执行其他任何操作。

但其中可能包含欧洲反计算机病毒协会 (EICAR) 创建的一段文本,这段文本可以安全的方式被所有反病毒产品检测为病毒,以便人们测试反病毒应用程序,确定其能否正常工作,而且无需使用真正的病毒或其他恶意软件实际感染其设备。

为明确起见 — 此应用程序完全无害,但应该被检测为病毒。 这就是它的全部目的。 如果您在手机上运行反病毒应用程序,则在安装此应用程序时,反病毒应用程序应将其检测为病毒。

有关更多详细信息,请在维基百科上搜索“EICAR标准反病毒测试文件”,或者访问 EICAR 网站 eicar.org。

Exploit.Linux.Lotoor

名称 Exploit.Linux.Lotoor
类别
发布日期 2012/01/25
更新编号 47

Exploit.Linux.Lotoor 是一种面向 Android 设备的恶意应用程序,影响 Android 2.3 及以下版本的设备。 此恶意软件需要用户干预才能安装主机应用程序。 安装后,重新打包的应用程序将开始利用设备的 root 漏洞,尝试获取 root 权限。 在“asset”文件夹内有 4 个独立文件,这些文件是该恶意软件发挥功能的关键所在,在安装主机应用程序后,这些文件将改为 .sh 扩展名:

- gbfm.png
- install.png
- installsoft.png
- runme.png

成功获取 root 之后,恶意软件将运行新更名的“install.sh”文件,以设置 (chmod 4775) 系统分区的文件权限。 随后,shell 将从“/system/bin/sh”复制到恶意应用程序创建的新文件夹“/system/xbin/appmaster”,并重新挂载分区。 这允许其在需要时访问 shell。

此漏洞仅在安装了 SD 卡的设备上有效。

Fake-netFlic

名称 Fake-netFlic
类别
发布日期 2011/10/26
更新编号 39

Fake-netFlic 是一种伪装成面向 Android 设备的 NetFlix 应用程序的木马应用程序。 安装时,Fake-netFlic 会请求超出正式 NetFlix 应用程序所需的权限,具体如下:

- 打开网络连接。
- 访问有关网络的信息。
- 访问有关 WiFi 状态的信息。
- 检查手机当前状态。
- 禁止处理器休眠或屏幕调光。
- 将用户事件注入事件流,并将其传递到任何窗口。
- 允许访问低层系统日志。
- 写入外部存储设备。
- 收集调试日志。
- 收集有关当前或近期运行的任务的信息。

Fake-netFlic 会显示一个登录屏幕,与正式 NetFlix 应用程序的官方登录屏幕极为相似。 但存在一些细微差别。 实际上,用户在仿冒的登录页面中输入 NetFlix 凭据时,永远无法成功登录。 恶意软件会立即将凭据发送到远程服务器。

FakePlayer

名称 FakePlayer
类别
发布日期 2011/04/01
更新编号 1

“Fake Player”是第一个已知会感染 Android 设备的 SMS 短信木马应用程序。 此应用程序以名为“ru.apk”的 APK(Android 程序包)形式进入手持设备,在设备的应用程序列表中显示为“org.me.androidapplication1”,在应用程序抽屉中显示为“Movie Player”。 分析表明,“Fake Player”较为基础,开发人员创建了一个简单的“Hello, World”应用程序,并对代码进行了修改,通过请求“SMS_SEND”权限包含了极为基本的 SMS 短信功能。 作为一种 SMS 短信木马,在安装后,“Fake Player”会向 SMS 号码“3353”发送一条包含“798657”的 SMS 短信,所发送的每一条短信都会向用户的移动账户收费。 发送短信后,木马将向短号“3354”发送相同的短信,随后向“3353”发送第三条短信。

分析表明,“Fake Player”仅通过第三方渠道分发,从未出现在任何地区的 Android 市场中。 此外,“Fake Player”据信无法在俄罗斯运营商网络以外正常工作,因为其配置的短号存在于俄罗斯网络内,俄罗斯以外的运营商网络无法使用此短号。 除此之外,“Fake Player”无法自我传播,必须由设备用户发起必要的操作以安装应用程序,并且必须确认用户批准其请求的权限。

FlexiSpy

名称 FlexiSpyn
类别
发布日期 2012/02/22
更新编号 50

FlexiSpy 是一种影响大多数主流移动平台的商业间谍软件。 Flexispy 会记录手机通话和 SMS 短信,并将其发送至远程服务器。 这应该是为此目的而设计的实际应用程序。 但它会暗地里运行,而不会指明目的,因此分类为木马程序。 支持升级的功能集的多个不同程序包附带 FlexiSpy。 完整功能集如下:

远程侦听
通过 SMS 短信控制手机
SMS 和电子邮件日志
通话历史记录日志
位置跟踪
通话拦截
GPS 跟踪
屏蔽
黑名单
白名单
Web 支持
安全登录
查看报告
高级搜索
下载报告
特殊功能
SIM 卡更换通知
所需 GPRS 功能
侦听记录的对话

Foncy

名称 Foncy
类别
发布日期 2011/12/09
更新编号 43

Foncy 是一种 SMS 短信木马应用程序,重新打包为合法应用程序的形式。 它使用特殊方法,允许其检索设备的国家/地区代码,以便向适当国家/地区内的特定号码发送收费 SMS 短信。 目前,Foncy 已知仅影响欧洲国家/地区和用户。

GGTracker

名称 GGTracker
类别
发布日期 2011/06/23
更新编号 1

GGTracker 是一种面向 Android 设备的木马程序,向收费号码发送 SMS 短信,同时收集敏感设备信息。

木马执行时,将会发送被入侵设备的电话号码,以便控制服务器向设备发送 SMS 短信。

接下来,木马会监控收到的短信,拦截以下号码的 SMS 短信:

00033335
00036397
33335
36397
46621
55991
55999
56255
96512
99735

它还会发送以下 SMS 短信以响应 41001 发来的 SMS 短信:
YES

该木马可能收集以下信息:

- 设备电话号码
- 网络运营商名称
- 所拦截的 SMS 短信的发送人和内容
- 收件箱中 SMS 短信的发送人和内容
- Android 操作系统的版本

随后,它会将收集到的信息发送到以下位置:
http://www.amaz0n-cloud.com/droid/droid.php

Geinimi

名称 Geinimi
类别
发布日期 2011/04/01
更新编号 1

Geinimi 是一种 Android 木马,能够收集个人和设备识别信息,并将其传输到远程服务器。 作为迄今为止最复杂的 Android 恶意软件,“给你米”(Geinimi) 还引入了僵尸网络功能,这表明“给你米”(Geinimi) 的代码库中应包含命令与控制 (C&C) 功能。 至今尚没有证据确认这种 C&C 通信是否实际发生过,但对该恶意软件所进行的分析清楚表明了这一信道的存在。 “给你米”(Geinimi) 具有以下功能:

- 监控和发送 SMS 短信

- 删除选定 SMS 短信

- 监控和发送位置数据

- 获取和发送设备识别数据 (IMEI/IMSI)

- 下载并提示用户安装第三方应用程序

- 枚举并传输受感染设备上安装的应用程序列表

- 拨打电话

- 静默下载文件

- 启动浏览器并转到预先定义的 URL

目前为止,Geinimi 感染的应用程序仅出现在中国的第三方应用程序存储库中,仅能通过“侧面加载”受感染的应用程序安装。 “给你米”(Geinimi) 尚未出现在官方 Android 市场中。 实际上,“给你米”(Geinimi) 出现在一系列盗版 Android 市场实际应用程序的应用程序之中,盗版者会分解这些应用程序,将“给你米”(Geinimi) 代码打包到应用程序中,然后重新汇编。

感染“给你米”(Geinimi) 的应用程序拥有复杂的特点,此外“给你米”(Geinimi) 还竭尽所能尝试掩盖和加密“给你米”(Geinimi) 代码以及因其发生的通信中的恶意行为。 为了阻碍分析尝试,“给你米”(Geinimi) 作者使用弱 DES 密码加密了代码的特定字符串。 幸运的是,可以在代码中轻松识别出“12345678”这种弱密钥,从而解密重要字符串以供分析。

感染“给你米”(Geinimi) 的设备与其控制服务器之间的通信使用与加密字符串相同的 DES 密码和密钥加密。 在这种情况下,“给你米”(Geinimi) 会尝试加密原本为明文的 HTTP 请求,使得流量不甚明显。

以下 URL 已被确定通过端口 8080 使用 Geinimi 代码作为相应 URL:

www.widifu.com

www.udaore.com

www.frijd.com

www.piajesj.com

www.qoewsl.com

www.weolir.com

www.uisoa.com

www.riusdu.com

www.aiucr.com

117.135.134.185

对 Geinimi 的初步分析表明,受感染的应用程序数量较多。 瞻博网络 GTC 已经确定至少 24 种不同应用程序感染了“给你米”(Geinimi)。 以下 Android 程序包已知受 Geinimi 代码感染:

com.moonage.iTraining – 检测为 A.Geinimi.01

com.sgg.sp – 检测为 A.Geinimi.02

com.bitlogik.uconnect – 检测为 A.Geinimi.03

com.ubermind.ilightr – 检测为 A.Geinimi.04

com.outfit7.talkinghippo – 检测为 A.Geinimi.05

com.littlekillerz.legendsarcana – 检测为 A.Geinimi.07

com.xlabtech.MonsterTruckRally – 检测为 A.Geimimi.08

cmp.LocalService – 检测为 A.Geinimi.09

jp.co.kaku.spi.fs1006.Paid – 检测为 A.Geinimi.10

com.xlabtech.HardcoreDirtBike – 检测为 A.Geinimi.11

cmp.netsentry – 检测为 A.Geinimi.12

com.dseffects.MonkeyJump2 – 检测为 A.Geinimi.13

com.wuzla.game.ScooterHero_Paid – 检测为 A.Geinimi.14

com.masshabit.squibble.free – 检测为 A.Geinimi.15

signcomsexgirl1.mm – 检测为 A.Geinimi.16

redrabbit.CityDefense – 检测为 A.Geinimi.17

com.gamevil.bs2010 – 检测为 A.Geinimi.18

com.computertimeco.android.alienspresident – 检测为 A.Geinimi.19

com.apostek.SlotMachine.paid – 检测为 A.Geinimi.20

sex.sexy – 检测为 A.Geinimi.21

com.swampy.sexpos – 检测为 A.Geinimi.22

com.ericlie.cg5 – 检测为 A.Geinimi.23

chaire1.mm – 检测为 A.Geinimi.24

如前所述,尚未发现官方 Android 市场中存在感染 Geinimi 的应用程序。 与所有 Android 应用程序一样,用户必须实际安装感染“给你米”(Geinimi) 的应用程序并批准其请求的权限。 建议 Android 用户在考虑应用程序请求的权限时,谨慎考虑每种应用程序的背景。 处理来自第三方应用程序存储库的“侧面加载”Android 应用程序时,尤其要注意这一点。

GingerMaster

名称 GingerMaster
类别
发布日期 2012/01/25
更新编号 47

GingerMaster 是第一个利用 Android 2.3 (Gingerbread) root 漏洞的 Android 恶意软件,这不同于利用 Android 2.2 及更低版本的 root 漏洞、能够 root 设备以扩展自身功能的先前 Android 恶意软件变体。

GingerMaster 沿袭了将恶意代码重新打包到合法应用程序中的趋势。 安装感染木马的应用程序后,它将注册一个接收器,从而在系统成功引导后收到通知,并在后台启动一项服务,收集设备识别信息并上传到远程服务器。

除了收集此类设备信息之外,感染 GingerMaster 的应用程序还会尝试利用“GingerBreak”root 漏洞,为自身升级 root 权限,并尝试在系统分区中安装一个 root shell,以备稍后使用。

获得 root 权限后,GingerMaster 会尝试连接到远程命令与控制 (C&C) 服务器,并将等待来自僵尸网络主机的指令。 随后,GingerMaster 能够在先前安装的 root shell 中执行“pm install”,从而开始静默下载和安装能够扩展恶意软件功能的其他应用程序。

GoldDream

名称 GoldDream
类别
发布日期 2011/07/04
更新编号 1

“GoldDream”是在名为“Fast Racing”的应用程序中发现的 Android 恶意软件。 “Fast Racing”是一款拉力赛车游戏,运行时看似一切正常,但后台包含恶意代码。

“Fast Racing”的程序包名称为“com.creativemobi.DragRacing”,请求的权限远超过一款游戏所需要的权限。 警惕性较高的用户可能会注意到它请求以下权限,因此可能是一种恶意应用程序:

- 您的短信
- 您的位置
- 网络通信
- 存储
- 收费服务
- 手机通话

我们已经确定了另外 6 种感染 GoldDream 恶意软件的应用程序。 可通过以下程序包名称找到这些应用程序:

Pure Girls 16 – com.GoldDream.pg03
Pure Girls 16 – com.GoldDream.pg04
Pure Girls 16 – com.GoldDream.pg
Forrest Defender – com.droid.game.forestman
DevilDom Ninja – com.droidstu.game.devilninja
Blood vs Zombie – com.gamelio.DrawSlasher

发现感染 GoldDream 恶意软件的 Android 应用程序可监控受感染移动设备上的所有传入和传出 SMS 短信和电话通话。 该恶意软件会侦听这些通信,捕获与短信或通话相关的电话号码。 对于 SMS 短信,GoldDream 恶意软件还会捕获短信内容,并将捕获到的所有数据存储到移动手持设备上的两个不同文本文件中,在收到命令后将捕获到的数据发送给控制服务器。[redacted]phonecall.txt

[redacted]sms.txt

在收到/发出短信或通话时,将在设备上的 /data/data/app_name/files 文件夹下创建这些文件

GoldDream 感染的应用程序还包含命令与控制 (C&C) 功能,命令服务器可指示恶意软件执行某些预先配置好的功能。 恶意软件分析表明,C&C 服务器或许能指示受感染的设备执行以下功能:

- 后台发送 SMS 短信
- 后台拨打电话
- 后台安装/卸载应用程序
- 将文件上传到远程服务器

GraySpyware

名称 GraySpyware
类别
发布日期 2011/04/01
更新编号 1

Gray Spyware 是 Android 市场上发现的同类首个非商业间谍软件。 GraySpyware 是一种极为基本的 SMS 短信间谍软件,宣传为监控不知情的用户的 txt 信息。 安装后,GraySpyware 伪装成基本 Android 浏览器应用程序,但会捕获所有已发和已收 SMS 短信,供远程服务器监控。

HippoSMS

名称 HippoSMS
类别
发布日期 2011/07/12
更新编号 1

HippoSMS 包含于合法应用程序的破解版中,针对亚洲用户。 安装后,HippoSMS 会向收费号码发送 SMS 短信,短信内容为“8”。 它还会监控传入的 SMS 短信,并删除任何以“10”开头的传入短信。

Jifake

名称 Jifake
类别
发布日期 2012/01/25
更新编号 47

Jifake 包含于俄罗斯用户修改版的即时消息传递应用程序 JIMM 预下载程序中。 这种预下载要求最终用户向一个短号 (2476) 发送内容为“744155jimm”的短信,以获取完整版本。 受害者将需要支付该 SMS 短信的费用。

Jifake 的另外一种变体会向短号 1899 发送 SMS 短信。 SMS 短信的内容如下: 1107[APPLICATION_CODE]1[RANDOM NUMBER].4

KidLogger

名称 KidLogger
类别
发布日期 2011/07/29
更新编号 1

KMin 是感染 Android 设备的一种非商业间谍软件。 Kid Logger 目前仍在 Android 市场中上架,其市场描述如下:

将电话和用户活动记录到一个日志文件中:
- 记录所有通话
- SMS 短信内容及收信人姓名
- Wi-Fi 连接
- GSM 状态(飞行模式、运营商名称等)
- 通过 USB 连接使用 SD 卡的情况
- 记录所用的全部应用程序
- 记录访问过的网站(仅限标准浏览器)
- 记录屏幕键盘中的按键操作和剪贴板文本
- 还会记录手机坐标并创建图片。
- 后台隐藏工作
- 采用密码保护
- 将用户活动日志文件保留 5 天,或将其上传到您的 Kidlogger.net 帐户。 您可以随时在线查看手机活动日志。

安装后 - 重新启动手机 - 拨打 *123456# 开启和激活 KidLogger 应用程序。
如果您不想重新启动,请安装“Soft Keyboard PRO”输入法。 请查看“Soft Keyboard PRO”应用程序了解详情。

KidLogger 之所以被标为间谍软件,是因为它能对用户隐藏自身。 尽管对于希望了解孩子上网和手机使用情况的家长而言,此类应用程序确实能提供必要服务,但也会让未经授权的用户能够非法监控毫不知情的人。

Kmin

名称 Kmin
类别
发布日期 2012/03/06

KMin 是感染 Android 设备的一种恶意应用程序。 该木马可能表现为名为“KMHome”的 Android 应用程序,并尝试收集设备 ID、订阅者 ID 和设备的当前时间,以发送给远程服务器。

KungFu

名称 KungFu
类别
发布日期 2012/01/25
更新编号 47

Droid KungFu 是一种面向其他市场中中文用户的 Android 恶意软件,包含于预先打包的盗版、含木马应用程序中,其中包含实现其功能的恶意代码。

Droid KungFun 利用“udev”和“rageagainstthecage”root 漏洞静默获取受感染设备的 root 访问权限。 在安装时,受感染的应用程序将向设备注册新服务和新接收器,接收器将在设备重启时收到通知,并能够在后台自动启动服务。 启动后的服务会解密已加密的 root 攻击有效负载,并对设备发起攻击,尝试升级到 root 权限。

获取 root 权限后,Droid KungFu 将尝试收集要发送给远程服务器的设备信息。 收集的设备信息包括:

- IMEI 编号
- 设备型号
- Android 版本

在恶意软件收集到必要的信息,并将这些信息传输给远程服务器以注册设备之后,Droid KungFu 将利用设备 root 权限,尝试在用户毫不知情的情况下,在后台为设备安装其他程序包。 安装的应用程序“Legacy”会伪装成合法的 Google 搜索应用程序,应用程序图标与之完全相同。 但“Legacy”实际上是一个后门程序,连接到远程服务器以接收有关后续操作的命令和指令,将受感染的设备转变为僵尸机器人。

KungFu.a

名称 KungFu.a
类别
发布日期 2012/01/25
更新编号 47

Droid KungFu2 是打包在盗版、含木马的 Android 应用程序中的原始 Droid KungFu 恶意软件的变体。 Droid KungFu2 包含与其上一代相同的大多数功能,此外还会尝试掩藏其以 Dalvik 代码(基于 Java)编写的代码部分,并改为使用本机代码。 它还会利用两个额外的命令与控制 (C&C) 域,而其上一代仅使用一个 C&C 域。

这些更改采用可混淆现有检测方法的方式实现,而且能够拖慢分析速度,使得研究人员更难分析和识别恶意软件的通信和其他功能。

KungFu.b

名称 KungFu.b
类别
发布日期 2012/01/25
更新编号 47

Droid KungFu3 是感染 Android 设备的 Droid KungFun 系列恶意软件中的第三代变体。 与上一代一样,Droid KungFu3 存在于面向 Android 设备的盗版、带木马应用程序中。 Droid KungFu3 进一步尝试掩盖其真正意图。 Droid KungFu2 添加了两个额外的命令与控制 (C&C) 服务器,并将其硬编码到本机代码中,而 Droid KungFu3 实际上加密了全部 3 个 C&C 服务器地址,进一步加大了恶意软件反向工程的难度。

Droid KungFu3 的主要目的不会因细微变化而更改。 与上一代一样,Droid KungFu3 利用两种 root 漏洞之一获得受感染设备的 root 权限。 获取 root 权限后,它会尝试安装一个伪装为虚假 Google 更新应用程序的嵌入 APK(Android 程序包)。

如果嵌入应用程序成功安装,它不会向用户显示应用程序图标。 实际上,所安装的应用程序会开启设备后门,连接到远程服务器以接受指令,将设备转变成一台僵尸机器人。

LeeCookSpyware

名称 LeeCookSpyware
类别
发布日期 2011/04/01
更新编号 1

LeeCook Spyware 是 Android 市场上同类首个非商业间谍软件。 LeeCook Spyware 是一种极为基本的 SMS 短信间谍软件,宣传为监控不知情的用户的 txt 信息。 安装后,LeeCook Spyware 伪装成基本 Android 浏览器应用程序,但会捕获所有已发和已收 SMS 短信,供远程服务器监控。

LoveTrap

名称 LoveTrap
类别
发布日期 2011/09/07
更新编号 5

LoveTrap 是一种 Android 木马,可向收费号码发送 SMS 短信。 安装后,LoveTrap 从远程服务器检索收费号码,以发送向移动用户帐户收费的 SMS 短信。

木马随后会尝试进一步拦截任何收费号码发来的 SMS 确认短信,以掩盖其行为。

MobinautenSMSSpy

名称 MobinautenSMSSpy
类别
发布日期 2011/04/01
更新编号 1

Mobinauten SMS Spy 仍在 Android 市场中上架,描述为可协助用户查找丢失或被窃设备的应用程序。 SMS Spy 之所以被标为间谍软件,是因为它会对用户隐藏自身,而且不会在设备的应用程序抽屉中插入应用程序图标。 SMS Spy 的程序包名称为“de.mobinauten.smsspy”,应用程序名称为“SMS Spy”。

SMS Spy 要求攻击者向设备发送一条 SMS 短信,预配置的短信是“How are you???”(你好吗?) 被定位的设备将通过 3 条 SMS 短信答复发送者。 第一条确认已接收到定位短信。 第二条回复设备的 GPS 坐标和地址。 第三条答复包含链接到显示设备所在位置的 Google 地图的 URL。

SMS Spy 允许用户选择隐藏传入的“定位”SMS 短信。 在这种情况下,必须在目标设备上创建一个独立联系人,其姓氏为“systemnumber”,其余信息留空。 通过在目标设备上创建这个“systemnumber”联系人,SMS Spy 即可删除特定结构的定位短息,并将发送到系统通知的短信修改为“Internal Service – SMS Database optimized and compressed”(互联网服务 - SMS 数据库已优化和压缩)

如果得到合理利用,SMS Spy 确实是一种有用的应用程序。 但由于这种应用程序会想方设法对用户隐藏自身,而且可能允许攻击者隐藏传入的定位短信,因此被标为 Android 间谍软件,让用户能在审慎斟酌后决定是否应在设备上保留此应用程序。

NickySpy

名称 NickySpy
类别
发布日期 2011/09/07
更新编号 5

NickySpy 是一种感染 Android 设备的恶意程序。 NickySpy 以名为“Android System Manager”的应用程序形式出现,但实际上这个应用程序只会收集设备信息,并将其发送给远程服务器。 NickySpy 能够捕获以下信息: 语音通话 SMS 短信 GPS 位置信息 国际移动设备识别码 IP 地址 该恶意软件会将语音通话数据存储到 SD 卡上名为“/sdcard/shangzhou/callrecord”的文件夹中,并创建一个计时器事件,启动数据收集并将这些详细信息发送到远程服务器。

PJApps

名称 PJApps
类别
发布日期 2011/04/01
更新编号 1

PJApps 通常出现在基于官方 Android 市场应用程序的盗版应用程序中,其中封装了恶意代码,并以合法应用程序的身份发布到中国第三方应用程序商店中。

在该木马执行时,它会请求执行以下操作的权限:

- 打开网络套接字
- 发送和监控传入的 SMS 短信
- 读取和写入用户的浏览历史记录和书签
- 安装程序包
- 写入外部存储
- 读取手机状态(即,停机、关闭无线功能等)

随后它将创建一个在后台运行的服务。 在设备的接收信号发生变化时,威胁启动程序将被触发。

在服务启动时,它会尝试使用以下 URL 自我注册:

http://mobile.meego91.com/mm.do?..[PARAMETERS]

注意: [PARAMETERS] 是一个变量,其中包含来自设备的以下信息

- IMEI
- 设备 ID
- 线数
- 订阅者 ID
- SIM 卡序列号

该威胁可能向由攻击者控制的手机号码发送一条短信,提供受感染设备的 IMEI 编号。 作为此短信发送目标的手机号码将从以下 URL 获取:

http://log.meego91.com:9033/android.log?[PARAMETERS]

该威胁会从以下位置下载命令:

http://xml.meego91.com:8118/push/newandroidxml/…

这些命令包含于一个 .xml 文件中,其中包含如下命令:
Note- 此命令的意图最有可能是向收费号码发送文本短信。 必须指定手机号码和内容,此外还可能执行其他两项操作:

黑名单
mdash; 若指定,手机号码将发送至远程服务器,检查是否已经列入黑名单。如果已列入黑名单,则不会发送短信。 服务的 URL 必须作为命令参数发送,黑名单检查将通过发送如下格式的请求执行:
($blacklist_url) + “/?tel=” + 手机号码

响应阻止 — Android.Pjapps 还将侦听传入的短信,允许 note 命令指定删除符合某些条件的传入短信的规则,以保证用户不会看到这些短信。 支持的过滤器包括短信开始和结尾字符串。

push- 此命令将执行 SMS 垃圾短信发送操作,需要如下参数:

—文本短信的额内容
—在短信内容末尾处添加的 URL
—作为文本短信发送目标的手机号码,用 ‘#’ 分隔

soft- 此命令用于在遭到入侵的设备上安装程序包。 程序包将从远程 URL 下载,该 URL 必须作为参数随命令一同发送。

window- 此命令使得手机导航到给定网站。 Android.Pjapps 包含所用浏览器的首选项,将检查以下浏览器是否存在:

com.uc.browser
com.tencent.mtt
com.opera.mini.android
mobi.mgeek.TunnyBrowser
com.skyfire.browser
com.kolbysoft.steel
com.android.browser
android.paojiao.cn
ct2.paojiao.cn
g3g3.cn

mark- mark 命令用于向遭遇入侵的设备添加书签。 在服务器最初启动时,Android.Pjapps 还有可能默认向设备添加以下书签:

xbox- 已在 Android.Pjapps 解析代码中发现此命令,但似乎并未实际实施。

PirateText

名称 PirateText
类别
发布日期 2011/04/01
更新编号 1

PirateText 是热门 Android 应用程序“Walk and Text”的盗版版本。 在“Walk and Text”发布到市场上的应用程序遭遇盗版,盗版程序包中编入恶意代码,并以合法版本的形式在第三方应用程序商店中再次发布之后,其正式开发人员在几个小时内就在 Android 市场上发布了这款应用程序的新版本。

在应用程序市场中遭遇盗版的版本为 1.3.6 版。 应用程序市场上的当前版本为 1.5.3 版。 包含恶意代码的版本为 1.3.7 版。 就我们所知,1.3.7 版并非 Incorporate Apps 推出的合法应用程序的正式更新。 尽管显示为 1.3.7 版,但实际上是写入了恶意代码的 1.3.6 版,并签署了一个并非 Incorporate Apps 所用的自签名证书。 这清晰表明了有其他人重新打包了这个应用程序,因为他们无法访问原始开发人员的合法证书。

在用户看来,恶意的“Walk and Text v1.3.7”应用程序在运行时似乎一切正常。 但它会在后台向设备的所有联系人发送一条 SMS 短信,内容如下:

“Hey,just downlaoded a pirated App off the Internet, Walk and Text for Android. Im stupid and cheap,it costed only 1 buck.Don\’t steal like I did!”

(嗨,我刚从网上下载了盗版的 Walk and Text Android 版应用程序,我真是傻透了,正版只要 1 块钱,千万别像我这样,做这种偷鸡摸狗的事情!)“Walk and Text v1.3.7”只会向设备联系人发送这种骚扰 SMS 短信。 这条 SMS 短信的本意在于告诉大家下载盗版应用程序是不道德的行为,但他们所用的方法本身就不道德。

Plankton

名称 Plankton
类别
发布日期 2011/06/07
更新编号 1

Plankton 是包含于盗版、含木马的应用程序中的 Android 恶意软件。 Plankton 最初由北卡罗来纳州大学的研究人员发现,他们发现受 Plankton 感染的应用程序会利用能够在 Android 设备中暗自运行的 Dalvik 类加载功能。

在受感染的应用程序安装到设备上后,恶意软件会添加一项后台服务,在执行应用程序时自动启动。 此后台服务能够收集受感染 Android 设备的识别信息,例如 IMEI 等,并收集主机应用程序请求的权限列表,将其发送到远程服务器。

在服务器收到这些信息后,会发回一个 URL,供设备上的恶意软件访问,从中检索一个能够自动自行加载的 .jar 文件,在受感染的 Android 设备上实现类似于僵尸网络的功能。 下载的 .jar 文件还会继续检索其他信息,例如浏览器历史记录和书签,也会转储设备 adb 日志,并且能够捕获设备上存储的账户凭据。

SMSBomber

名称 SMSBomber
类别
发布日期 2011/04/01
更新编号 1

SMSBomber 是一种为 Android 设备开发的简单 SMS 短信轰炸应用程序。 它会尝试发送大量 SMS 短信,对远程 Android 设备进行洪水攻击,对接受者收发 SMS 短信的能力产生不利影响。

SMSReplicator

名称 SMSReplicator
类别
发布日期 2011/04/01
更新编号 1

SMS Replicator 有两个版本。 恶意版本名为“Secret SMS Replicators”,非恶意版本名为“SMS Replicator”。 两种应用程序均由通常为 iPhone 开发应用程序的 DLP Mobile 开发,并在 Android 市场上发布。 两个版本的 SMS Replicator 允许攻击者配置应用程序,将发往受感染设备或从受感染设备发出的 SMS 短信发送到其选定的手机,以便进行监控。 两个应用程序之间的唯一差别在于“secret”版本会隐藏自身,避开用户检测,除非向受感染的设备发送一条专门的 SMS 短信,否则不会提供任何可访问的应用程序图标或界面。 进入应用程序界面后,两个应用程序的外观完全相同

两个版本的 SMS Replicator 应用程序均已发布到 Android 市场,但“Secret SMS Replicator”明目张胆地在宣传中表明自己属于间谍软件应用程序,可能会侵害不知情用户的隐私权,因违反市场服务条款而被下架。 “Secret SMS Replicator”仍可通过 Android 市场以外的第三方来源购买。

“Secret SMS Replicator”的程序包名称如下:

com.dlp.SMSReplicatorSecret

“SMS Replicator”的程序包名称如下:

com.dlp.SMSReplicator

两个应用程序均在安装时请求以下 Android 权限:

android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.READ_CONTACTS

SMS Replicator 的两种变体均需要攻击者获得目标设备的物理访问权限,只有这样才能安装间谍软件应用程序。

SMSReplicatorSecret

名称 SMSReplicatorSecret
类别
发布日期 2011/04/01
更新编号 1

SMS Replicator 有两个版本。 恶意版本名为“Secret SMS Replicators”,非恶意版本名为“SMS Replicator”。 两种应用程序均由通常为 iPhone 开发应用程序的 DLP Mobile 开发,并在 Android 市场上发布。 两个版本的 SMS Replicator 允许攻击者配置应用程序,将发往受感染设备或从受感染设备发出的 SMS 短信发送到其选定的手机,以便进行监控。 两个应用程序之间的唯一差别在于“secret”版本会隐藏自身,避开用户检测,除非向受感染的设备发送一条专门的 SMS 短信,否则不会提供任何可访问的应用程序图标或界面。 进入应用程序界面后,两个应用程序的外观完全相同

两个版本的 SMS Replicator 应用程序均已发布到 Android 市场,但“Secret SMS Replicator”明目张胆地在宣传中表明自己属于间谍软件应用程序,可能会侵害不知情用户的隐私权,因违反市场服务条款而被下架。 “Secret SMS Replicator”仍可通过 Android 市场以外的第三方来源购买。

“Secret SMS Replicator”的程序包名称如下:

com.dlp.SMSReplicatorSecret

“SMS Replicator”的程序包名称如下:

com.dlp.SMSReplicator

两个应用程序均在安装时请求以下 Android 权限:

android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.READ_CONTACTS

SMS Replicator 的两种变体均需要攻击者获得目标设备的物理访问权限,只有这样才能安装间谍软件应用程序。

SMSSpyFree

名称 SMSSpyFree
类别
发布日期 2011/04/01
更新编号 1

SMS Spy Free 是付费应用程序 SMS Spy Pro 的试用版。 SMS Spy Free 会捕获 SMS 短信,并静默地将其发送至预先配置好的电子邮件地址,以此刺探毫不知情的用户的通信。 SMS Spy Free 伪装成“小费计算器”,可在官方 Android 市场中找到。

由于 SMS Spy Free 主动尝试隐藏自身和真实意图,伪装成“小费计算器”,因此让未经授权的用户有机会刺探毫不知情的用户的通信。 因此,它被分类为非商业间谍软件。

SMSSpyPro

名称 SMSSpyPro
类别
发布日期 2011/04/01
更新编号 1

SMS Spy Pro 是一种针对 Android 设备的非商业间谍软件,可捕获 SMS 短信并静默地将其通过电子邮件发送至预先配置好的电子邮件地址,以此刺探毫不知情的用户的通信。 SMS Spy Pro 伪装成“小费计算器”,可在官方 Android 市场中找到。

由于 SMS Spy Pro 主动尝试隐藏自身和真实意图,伪装成“小费计算器”,因此让未经授权的用户有机会刺探毫不知情的用户的通信。 因此,它被分类为非商业间谍软件。

SkypwnedPOC

名称 SkypwnedPOC
类别
发布日期 2011/04/15
更新年好 1

Skypwned 是一种概念验证 (POC) 应用程序,专门开发用于演示利用 Skype for Android 漏洞的能力。 Skypwned POC 并无明显恶意,但如果检测到此应用程序,仍然应该将其从设备中删除。

SndApps

名称 SndApps
类别
发布日期 2011/07/18
更新编号 1

SndApps 是一种 Android 恶意软件,包含于似乎为 Android 设备游戏的应用程序中。 SndApps 会访问各种类型的设备识别信息,并将其转发给远程服务器。 它会访问和传输如下信息:

- 运营商/服务提供商
- 国家/地区代码
- 设备 ID/IMEI 编号
- 与设备相关的电子邮件地址
- 手机号码

感染 SndApps 的应用程序似乎并非他人借合法开发人员之手重新打包而成。 似乎是创建原始应用程序的相同开发人员在后续版本中加入了恶意代码。 这些应用程序最初在官方 Android 市场上架,但随后即被删除。

SpyEye

名称 SpyEye
类别
发布日期 2011/09/28
更新编号 39

SPITMO/SpyEye 是一种 Android 恶意软件,PC 感染了 PC 恶意软件 SpyEye 的用户会受其影响。 在受感染 PC 的用户浏览其网上银行网站时,SpyEye 能够向银行网页注入内容,尝试哄骗用户相信银行要求其提供手机号码,从而便于使用 mTan 短信进行带外身份验证。mTan 短信是银行发送给移动用户设备的一次性代码,用于在用户登录网上银行网站时验证身份。

在 SpyEye 检索到用户的移动设备号码后,就会通过注入的内容告诉用户必须下载一个“证书”,以便在设备上正确实施 mTan 身份验证。 实际上,用户已将手机号码提供给了 SpyEye,并受骗安装了 SpyEye 移动间谍软件应用程序,该应用程序会监控和捕获银行机构发来的 mTan 号码。

SpyEye 的配置能够确定通过 SMS 短信传入设备的 mTan 号码,随后将其发送到第三方服务器,供攻击者用于获得受害者网上银行网站的访问权限。

TapSnake-GPSSpy

名称 TapSnake-GPSSpy
类别
发布日期 2011/04/01
更新编号 1

GPS Spy 氛围两个独立部分,以保证间谍软件功能正常运行。 在受害者的设备上,攻击者可以下载并安装“Tap Snake”游戏,可通过 Android 市场下载,也可通过 ADB 推送到设备。 安装后,初次执行“Tap Snake”游戏时,它将为攻击者提供必要的配置接口,以便设置适当的凭据,用于访问 GSP 位置数据,并每隔 15 分钟将此数据发送到远程 Web 服务器。 后续每次执行“Tap Snake”应用程序时,该应用程序的外观和表现与普通贪吃蛇游戏别无二致,用户完全不知道该应用程序正在收集他们的信息,并且每隔 15 分钟发送一次用户的当前位置。 “Tap Snake”游戏的详细信息请参见此处

在攻击者的设备上,攻击者可以下载“GPS Spy”应用程序并将其安装在自己的设备上。 安装后,执行“GPS Spy”应用程序并输入相应凭据即可让 GPS Spy 应用程序与位置服务器同步,以便攻击者跟踪受害者手持设备的 24 小时活动情况。 GPS Spy 应用程序是定价 4.99 美元的间谍软件的一部分。 “GPS Spy”应用程序的详细信息请参见此处

Trojan-SMS.AndroidOS.FakeInst.a1

名称 Trojan-SMS.AndroidOS.FakeInst.a1
类别
发布日期 2012/01/25
更新编号 47

Android.FakeInst 是一种 SMS 短信木马,会向收费电话号码发送 SMS 短信。 它还会收集设备信息并将其传输到远程服务器。 已发现第三方应用程序商店中存在此木马。 此木马会通知用户,它们需要发送三条收费短信以便下载应用程序,但大多数情况下,官方 Adroid 市场或其他应用程序商店均免费提供相同的应用程序。

Trojan-SMS.AndroidOS.Opfake-1

名称 Trojan-SMS.AndroidOS.Opfake-1
类别
发布日期 2012/01/25
更新编号 47

Trojan-SMS.AndroidOS.Opfake 是一种会感染 Android 设备的 SMS 短信木马应用程序。 它会向收费号码发送 SMS 短信。 此外还会收集设备信息并将其发送到远程服务器。

安装此木马时,它会显示一个消息框,提醒用户必须发送 SMS 短信才能激活产品。 如果用户单击“同意”,它就会向“5537”这个号码发送一条 SMS 短信。

随后收集和传输以下信息:

- 设备 IMEI
- 程序包名称
- 电话号码
- 手机型号

Weatherfist

名称 Weatherfist
类别
发布日期 2011/04/01
更新编号 1

Weatherfist 是一种概念验证应用程序,是在 2010 年 RSA 安全大会上的 MOBOTS 演示中开发的。 研究人员尝试确定僵尸网络感染的设备典型的“打电话回家”特征能否在 Android 和 iPhone 平台上正常工作。 为此,研究人员开发了一个“气象”应用程序,其中并未使用邮政编码表示位置,而是直接将设备的 GPS 地址发回“气象”服务器。 这项功能表明,假设用户新接受了相应权限,或者应用程序碰巧通过了 App Store 审批流程,Android 和 iPhone 平台中的应用程序就有可能与第三方服务器通信。 概念验证表明,该应用程序在 Android 平台上的唯一下载量达到近 700 次,在 iPhone 平台上达到 7,700 次。 公开发布的概念验证应用程序不会收集任何类型的个人数据,也不允许僵尸网络中常见的任何类型的远程访问或命令与控制功能。 但研究团队确实另行开发了一个从未公开发布的应用程序,名为“WeatherFistBadMonkey”,其中包含常规僵尸网络的命令与控制功能。 此版本的概念验证从未公开发布。 无论从任何角度来说,WeatherFist 都不属于木马或后门应用程序,可轻松通过常规手段从设备中删除。

YZHCSMS

名称 YZHCSMS
类别
发布日期 2011/06/06
更新编号 1

YZHCSMS 是一种 Android 木马应用程序,程序包名称为“com.ppxiu”,开发人员为“Gengine”。 该应用程序在 Android 市场中已不再提供,但亚洲的第三方应用商店仍有提供。 名为“YZHCSMS”的恶意软件似乎仅针对亚洲市场,它通过联络脱机网站获取收费号码列表(短号,可向其发送 SMS 短信 — 就像为“美国偶像”节目投票一样),通过这种方式开始发送 SMS 短信,短信内容均以“YZHC”开头。

将从 Web 服务器检索到的收费号码与硬编码号码列表组合后,“YZHCSMS”会每隔 50 分钟向目标发送一条 SMS/文本短信息,每条短信都会向用户收取费用,具体数额依用户的收费计划而不同。 该 SMS 木马作为后台进程运行,在设备启动或受感染应用程序执行时启动。

除了作为后台线程运行的能力之外,YZHCSMS SMS 木马还会尝试删除其发送的任何 SMS 短信,删除可能因先前发送的收费短信而收到的 SMS 计费短信,从而进一步掩盖自身的本质。

这种 SMS 木马的一些变体仅能删除与恶意软件中硬编码的号码有关的短信,而另一些变体会尝试删除与从脱机服务器中检索到的号码有关的短信。

我们对至少一种变体的分析表明,“YZHCSMS”的各种变体内均硬编码了以下号码:

1000
10000
10086
100086
123456
617915
19000101
19860102
19861119
91316005
91316007
101011101
12345678911
1065800885566
052714034192100013309
1240000089393100527140341001

以下号码存在于“mmssender”类中:

052714034192100013309
10086
1240000089393100527140341001

至少一种变体会通过“SMSObserver”类拦截与以下硬编码号码相关的消息:

10086
1065800885566
目前,这些收费号码在亚洲市场以外地区是否有效尚不明确。 Android 市场数据表明,此应用程序的下载量仅有大约 500 次。

ZSoneSMSTrojan-1

名称 ZSoneSMSTrojan-1
类别
发布日期 2011/04/01
更新编号 1

ZSone SMS 木马是一系列会感染 Android 设备的的盗版、含木马应用程序。 代号为“Zsone”的开发人员发布了 13 款此类应用程序,部分应用程序利用 SMS 通信,以欺诈的方式为毫无疑心的用户的设备注册中国的收费服务。

在已经分析的 13 个应用程序中,11 个应用程序已知采用这种方式运作,向各种收费号码注册设备。 受到此类恶意应用程序感染的中国用户可能会注意到,其移动账户因设备注册这些收费服务而被主动扣款。

已确认来自开发人员“Zsone”的恶意应用程序包括:

LoveBaby
iBook
iCartoon
Sea Ball
iCalendar
3D Cube horror terriblei
ShakeBanger
iMatch 对对碰
Shake Break
iSMS
iMine

已知上述应用程序会与如下收费号码通信,但这些号码仅在中国的移动网络内有效:

10086
1066185829
10000
10010
1066133
10655133
10621900
10626213
106691819
10665123085
10621900

很多时候,发送用于为设备注册收费服务的 SMS 短信正文中包含一个特殊代码,用于支持设备注册服务,例如:

M6307AHD
aAHD
95pAHD
58#28AHD
YXX1
921X1

如前所述,这些恶意应用程序尝试为移动帐户注册的收费服务仅在中国的移动网络内有效。 中国网络以外的用户账户不会因其受感染设备尝试发送的任何短信而被扣款。

Zitmo_Android

名称 Zitmo_Android
类别
发布日期 2011/07/08
更新编号 1

SPITMO/SpyEye 是一种 Android 恶意软件,PC 感染了 PC 恶意软件 SpyEye 的用户会受其影响。 在受感染 PC 的用户浏览其网上银行网站时,SpyEye 能够向银行网页注入内容,尝试哄骗用户相信银行要求其提供手机号码,从而便于使用 mTan 短信进行带外身份验证。mTan 短信是银行发送给移动用户设备的一次性代码,用于在用户登录网上银行网站时验证身份。

在 SpyEye 检索到用户的移动设备号码后,就会通过注入的内容告诉用户必须下载一个“证书”,以便在设备上正确实施 mTan 身份验证。 实际上,用户已将手机号码提供给了 SpyEye,并受骗安装了 SpyEye 移动间谍软件应用程序,该应用程序会监控和捕获银行机构发来的 mTan 号码。

SpyEye 的配置能够确定通过 SMS 短信传入设备的 mTan 号码,随后将其发送到第三方服务器,供攻击者用于获得受害者网上银行网站的访问权限。

com.blitzforce.massada

名称 com.blitzforce.massada
类别
发布日期 2011/04/01
更新编号 1

“com.blitzforce.massada”表示来自中国电子科技大学 Blitz Force Massada 小组的一个程序包名称,该程序包显示为概念验证 (POC) 恶意软件,以 Android 设备为目标。 作为 POC,com.blitzforce.massada 的创建目的并非造成破坏,而仅仅是展现潜在恶意软件的功能。

Com.blitzforce.massada 利用多种攻击方式展现以下能力:

- 在无用户干预的情况下接收呼入通话
- 导致手机在无用户干预的情况下挂断通话
- 关闭设备无线功能,禁止任何呼入/呼出通话
- 收集敏感设备信息并发送给远程服务器

BLACKBERRY

B.Flexyspy.BB

名称 B.Flexyspy.BB
类别
发布日期 2009/04/23
更新编号 1

Flexispy 是一种零售间谍软件程序。 由拥有设备物理访问权限的某人安装。 在安装完成后,它将尝试使用误导性的已安装应用程序名称,并且不会显示在应用程序菜单中,通过这种方式隐藏自身。
有可能向间谍监测的服务器泄露 SMS 短信、通话信息和其他敏感信息。
某些版本能够将室内的谈话泄露给间谍。

J2ME

J.Etisalat.A.un

名称 J.Etisalat.A.un
类别
发布日期 2009/07/15
更新编号 1

Etisalat.A[MA] 是一种通过 WAP 推送给阿拉伯联合酋长国 (UAE) 的 Etisalat network BlackBerry 订阅者的间谍软件,它采用经过认可的性补丁的形式,描述为修复用户在前几周遇到的网络问题。 该间谍软件的真实本质是拦截 BlackBerry 用户的电子邮件,并将其转发给 Etisalat network 内的监控代理。 该补丁有 .jar 和 .cod 两种形式。 .jar 文件包含以下类:

 

META-INF/
META-INF/MANIFEST.MF
Registration.cod
Registration.csl
Registration.cso
com/
com/ss8/
com/ss8/interceptor
com/ss8/interceptor/app/
com/ss8/interceptor/app/Commands.class
com/ss8/interceptor/app/Constants.class
com/ss8/interceptor/app/Log.class
com/ss8/interceptor/app/Main$1.class
com/ss8/interceptor/app/Main.class
com/ss8/interceptor/app/MsgOut.class
com/ss8/interceptor/app/Recv.class
com/ss8/interceptor/app/Send.class
com/ss8/interceptor/app/StatusChange.class<
com/ss8/interceptor/app/Transmit.class
com/ss8/interceptor/tcp/
com/ss8/interceptor/tcp/HTTPDeliver.class
com/ss8/interceptor/tcp/smtp/
com/ss8/interceptor/tcp/smtp/SMTPHeader.class
com/ss8/interceptor/tcp/SocketBase.class
Interceptor.class

所包含的类允许应用程序挂接文件夹更新、消息存储、外发消息和无线事件:
-Recv.class 允许应用程序实现 net.rim.blackberry.api.mail.event.FolderListener 和 net.rim.blackberry.api.mail.event.StoreListener,从而监控传入消息

-Send.class 实现了 net.rim.blackberry.api.mail.event.FolderListener 和 net.rim.blackberry.api.mail.SendListener,允许应用程序监控外发消息,但仅用于稍后转发消息。

- StatusChange.class 允许应用程序监控网络变化等无线事件。 在发生某些网络变化时,它会删除并取消注册 Recv 侦听器。

 

版本:4.91
版权信息
日期和事件
Pin 码
电话号码
IMEI
IMSI
序列号:
设备名称:
设备制造商
平台版本
原因: 可以是“服务更改”或“网络已启动”
状态: 设备在运行还是停止。

这些命令在 Commands.java 中提供,该文件将调用 MsgOut 构造方法,将消息传递到 MsgOut.java。 向注册服务器发送另一条消息,提供以下信息:

版本:4.91
日期和时间

注册后,应用程序将保持不活动状态,直至收到控制代理的“start”命令。 此命令电子邮件将立即被删除。 可能的命令共有 4 条(version、bCkp、start、stop),命令均加密。

在应用程序激活后,它将侦听电子邮件。 收到电子邮件时,Recv 类会检测邮件,确定是否至少包含四条可能存在的嵌入命令之一。 如果不包含,则为邮件采用 UTF-8 编码,使用 GZIP 对其进行处理,并使用静态密钥“EtisalatIsAProviderForBlackBerry”对邮件进行 AES 加密,随后使用 Base64 编码所有内容。 然后,邮件将通过 HTTP Post 转发至 http://10.116.3.99:7095/bbupgr。 发送给控制代理的邮件中包含以下信息:

邮件主题
邮件正文
发件人地址
收件人地址

假设接收方 HTTP 服务器随后会创建一封电子邮件,并将收到的信息转发至以下电子邮件地址:
regbb@etisalat.ae
etisalat_upgr@etisalat.ae

 

 

SYMB-3

S.Album.a

名称 S.Album.a
类别
发布日期 2010/07/20
更新编号 1

Album SMS 短信中的链接形式提供,单击后将下载会发送更多 SMS 短信的恶意软件 SISX 文件。 此系列的变体包括 Symbian 签名和颁发给 Shenzhen ZhongXunTianCheng Technology 的签署证书。

此恶意软件会从设备中收集电话号码。 随后利用这些电话号码发送更多垃圾 SMS 短信,循环不断。 与类似的 Yxes 木马不同,Album 使用第三方库发送 SMS 短信。 这导致 SMS 短信不会显示在用户的已发短信中。 这些短信可能缩短电池续航时间,也会造成 SMS 短信费。

它还会收集设备信息并将其发送到远程服务器。

为避免被卸载,它会禁用某些设备程序,最主要的就是应用程序管理器。

用户已经发现,重新安装受感染的 SISX 会导致其运行进程终止(覆盖应用程序),如果重新安装过程在正确的时机终止,那么用户就能重获应用程序管理器的访问权限。

S.EicarSymb

名称 S.EicarSymb
类别
发布日期 2011/11/01
更新编号 37

EICAR 防病毒测试应用程序
此应用程序无害。 它并不会损坏您的设备。

此应用程序并无恶意:它不会读取您的数据、接入互联网或创建任何文件。 除了显示一条消息之外,它不会在后台运行、自动启动,或者执行其他任何操作。

但其中可能包含欧洲反计算机病毒协会 (EICAR) 创建的一段文本,这段文本可以安全的方式被所有反病毒产品检测为病毒,以便人们测试反病毒应用程序,确定其能否正常工作,而且无需使用真正的病毒或其他恶意软件实际感染其设备。

为明确起见 — 此应用程序完全无害,但应该被检测为病毒。 这就是它的全部目的。 如果您在手机上运行反病毒应用程序,则在安装此应用程序时,反病毒应用程序应将其检测为病毒。

有关更多详细信息,请在 Wikipedia 上搜索“EICAR 测试文件”,或者访问 EICAR 网站 eicar.org

S.FlexiSpy.gen4

名称 S.FlexiSpy.gen4
类别
发布日期 2011/01/07
更新编号 1

FlexiSpy 是一种基于 Symbian 操作系统的木马,可记录电话通话和 SMS 短信并将其发送到远程服务器。 这应该是为此目的而设计的实际应用程序。 但它会暗地里运行,而不会指明目的,因此分类为木马程序。 支持升级的功能集的多个不同程序包附带 FlexiSpy。

完整功能集如下:

远程侦听
通过 SMS 短信控制手机
SMS 和电子邮件日志
通话历史记录日志
位置跟踪
通话拦截
GPS 跟踪
屏蔽
黑名单
白名单
Web 支持
安全登录
查看报告
高级搜索
下载报告
特殊功能
SIM 卡更换通知
所需 GPRS 功能
侦听记录的对话

S.Lopsoy.e

名称 S.Lopsoy.e
类别
发布日期 2010/08/09
更新编号 1

Lopsoy 是一种 SMS 短信木马,能够向收费 SMS 号码发送 SMS 短信,从设备的移动帐户中吸费。 Lopsoy 常伴随着名为 PremiumSMSTroy.exe 的文件一起出现,已知包含于以下 Symbian 程序包中:

- Stalker_s60.sis
- Virtual_Hottie_3D_Mobile_s40.sis
- Virtual_Hottie_3D_Mobile_s60.sis
- bluetooth_hack2_symbian7-8_s40.sis
- bluetooth_hack2_symbian9_s60.sis
- file17_symbian7-8.sis
- file17_symbian9.sis
- file28_symbian9.sis

已知存在 Lopsoy SMS 短信木马的集中变体。变体 a、b 和 c 均为严重的第三版 Symbian 威胁,而变体 d 是第二版。所有变体均可通过 S.lopsoy.gen(drs) 签名检测到。

S.Lopsoy.f

名称 S.Lopsoy.f
类别
发布日期 2011/09/07
更新编号 7

Lopsoy 是一种 SMS 短信木马,能够向收费 SMS 号码发送 SMS 短信,从设备的移动帐户中吸费。 Lopsoy 常伴随着名为 PremiumSMSTroy.exe 的文件一起出现,已知包含于以下 Symbian 程序包中:

- Stalker_s60.sis
- Virtual_Hottie_3D_Mobile_s40.sis
- Virtual_Hottie_3D_Mobile_s60.sis
- bluetooth_hack2_symbian7-8_s40.sis
- bluetooth_hack2_symbian9_s60.sis
- file17_symbian7-8.sis
- file17_symbian9.sis
- file28_symbian9.sis

已知存在 Lopsoy SMS 短信木马的集中变体。变体 a、b 和 c 均为严重的第三版 Symbian 威胁,而变体 d 是第二版。所有变体均可通过 S.lopsoy.gen(drs) 签名检测到。

S.NeoCall.gen

名称 S.NeoCall.gen
类别
发布日期 2011/01/07
更新编号 1

NeoCall 最初是一种 Symbian 间谍软件应用程序,让攻击者能够对不知情的用户执行以下间谍任务:

- Neo-Control:允许用户使用 NeoCall 软件控制手机
- Neo-Setup:使用实用菜单工具配置目标手机
- Neo-Suite 2k8:这是针对 Symbian 9 手机的程序集,将主要应用程序合并在一个软件中。
- Neo-Phone:侦听所有环境声音和对话 – Nokia 6600、6670、7610
- Neo-Phone2:侦听所有环境声音和对话 – 手机基站 Symbian 7/8 和 9
- Neo-Interceptor:侦听来电和去电
- Neo-Sms:sms 短信转发
- Neo-Log & Email:将信息记录在手机存储器中,并通过蓝牙或电子邮件发送
- Neo-List:手机通话清单
- Neo-Trax:按 BTS 基站定位
- Neo-GPS:按 GPS 坐标定位
- Neo-Brand:个性化安装
- Neo-Contact:联系人管理
- Neo-Virtual SMS: SMS 短信转发,使用个性化发件人名称
- Neo-Sim:sim 卡数据
- Neo-Record:对话录音
- Neo-SMSInstall:通过 SMS 短信安装

攻击者通过向目标手持设备发送 SMS 命令控制目标设备上运行的 NeoCall 实例,以检索所请求的数据。

NeoCall 只能由获得手持设备物理访问权限的攻击者安装到目标设备上。

S.Photoview.a

名称 S.Photoview.a
类别
发布日期 2010/09/28
更新编号 1

Cell Phone recon 间谍软件时一种商业间谍软件应用程序,能在 iPhone 以外的所有主流智能手机平台上运行。 在每种受感染的平台上,Cell Phone Recon 都能通过不向用户提供应用程序图标的方式隐藏自身。 但 Cell Phone Recon 未列入“PhotoViewer”的应用程序列表。 Cell Phone Recon 提供以下间谍功能:

- 监控所有传入/传出的 SMS 短信
- 查看已发和已收电子邮件的内容
- 记录所有来电/去电/未接来电
- 监控和跟踪手机的位置
- 查看 HTML 电子邮件内容,包括内嵌图片

为支持攻击者监控特定设备的位置和通信,Cell Phone Recon 提供了一个便于监控的管理网站。 Cell Phone Recon 的详细说明和信息请见此处

S.Spitmo.a

名称 S.Spitmo.a
类别
发布日期 2011/05/19
更新编号 1

SPITMO/SpyEye 会影响 PC 感染了恶意软件 SpyEye 的用户。 在受感染 PC 的用户浏览其网上银行网站时,SpyEye 能够向银行网页注入内容,尝试哄骗用户相信银行要求其提供手机号码,从而便于使用 mTan 短信进行带外身份验证。mTan 短信是银行发送给移动用户设备的一次性代码,用于在用户登录网上银行网站时验证身份。

在 SpyEye 检索到用户的移动设备号码后,就会通过注入的内容告诉用户必须下载一个“证书”,以便在设备上正确实施 mTan 身份验证。 实际上,用户已将手机号码提供给了 SpyEye,并受骗安装了 SpyEye 移动间谍软件应用程序,该应用程序会监控和捕获银行机构发来的 mTan 号码。

SpyEye 的配置能够确定通过 SMS 短信传入设备的 mTan 号码,随后将其发送到第三方服务器,供攻击者用于获得受害者网上银行网站的访问权限。

S.Upadapter.gen

名称 S.Upadapter.gen
类别
发布日期 2010/12/06
更新编号 1

S.Upadapter.o(drs) 是影响 Symbian 设备的 AVK.Dumx.A 系列木马家族的一员。 根据报告,这一具体样本在中国广为传播,感染了超过一百万台设备。 在感染后,Upadapter 会向设备通讯录中存储的每个电话号码大肆发送 SMS 短信,包含下载程序包、连接发送有关受感染设备的信息的主服务器的 URL。 此信息可能会在将来用于通过 SMS 短信向受感染的设备发送命令。

除了向收费号码发送 SMS 短信和拨打未经授权的电话、从机主移动帐户中吸费之外,Upadapter 与某些更高级的 PC 恶意软件相似,同样会尝试禁用手持设备上运行的防病毒应用程序。

Upadapter 极难清除,往往需要通过返回出厂设置来硬重置设备,导致用户的所有个人数据丢失。

S.Yxes.i

名称 S.Yxes.i
类别
发布日期 2010/08/09
更新编号 1

Yxe 以 SMS 短信中的链接形式提供,单击后将下载会发送更多 SMS 短信的恶意软件。 此系列的变体包括能够在第三版设备上运行的 Symbian Signed。 签署的证书颁发给 XiaMen Jinlonghuatian or ShenZhen ChenGuangWuXian。

SMS 垃圾短信中包含以下链接之一:

http://www.wwqx-mot.com/game
http://www.wwqx-sun.com/game
http://www.wwqx-cyw.com/game

所有这些地址现在均已被禁用。 这些短信宣称可下载一款游戏,但实际上下载的是以下经过签名的 SISX 文件之一:

sexy.sisx(安装 boothelper.exe)
beauty.sisx(安装 EConServer.exe)
beauty_new.sisx(安装另一个 EConServer.exe)。

此恶意软件仅可在 S60 第三版设备上运行,将从设备中收集电话号码。 随后利用这些电话号码发送更多垃圾 SMS 短信,循环不断。 已发短信将从邮箱中删除。 这些短信可能缩短电池续航时间,也会造成 SMS 短信费。

它还会收集设备信息并将其发送到远程服务器。

为避免被卸载,它会禁用某些设备程序,最主要的就是应用程序管理器。

用户已经发现,重新安装受感染的 SISX 会导致其运行进程终止(覆盖应用程序),如果重新安装过程在正确的时机终止,那么用户就能重获应用程序管理器的访问权限。

S.Zitmo.a

名称 S.Zitmo.a
类别
发布日期 2010/09/28
更新编号 1

Zitmo 是一种会感染 Symbian 和 BlackBerry 设备的木马应用程序,用于协助 Windows 木马 ZeuS 窃取网上银行凭据。
Zitmo 是第一个与成功窃取受害者网上银行登录凭据的 Windows 木马 Zeus 协同作用的移动设备木马应用程序。 攻击的 Zitmo 部分尝试监控受影响设备的 SMS 短信通信,以拦截受害者银行发来的 SMS 短信身份验证短信。
许多金融机构都开始实施带外身份验证方法,以此保护客户避开欺诈和身份窃取。 已投入实施的方法之一就是银行向客户的移动设备发送一条 SMS 短信,其中包含成功登录网上银行、进行金融交易、处理商业事务所需的必要信息的片段。
Zitmo 可在任意多次社会工程攻击之后进入移动设备,这些攻击的目的在于哄骗用户泄露其手机号码和/或设备型号。 最终目标是让 Zeus 能够哄骗用户在其设备上安装一个应用程序,这个应用程序可能伪装成“安全证书”或其他内容,以验证与银行之间的通信。 在 Zitmo 安装后,发送给设备的任何 SMS 短信都会被木马捕获,通过这种方式寻找捕获的 SMS 短信中包含的 mTAN(移动交易身份验证号码)。
目前,大多数欧洲国家都采用 mTAN 进行身份验证,因此根据地理位置的不同,技术上的一些差异可能导致此攻击无效。

WINCE

W.1Eicar Test Signature

名称 W.1Eicar Test Signature
类别
发布日期 2008/03/11
更新编号 1

EICAR 防病毒测试应用程序 此应用程序无害。 它并不会损坏您的设备。 此应用程序只是显示类似于这样的一条消息,不会执行其他任何操作。 它不需要安装权限。 它不会读取您的数据、接入互联网或创建任何文件。 除了显示一条消息之外,它不会在后台运行、自动启动,或者执行其他任何操作。 但其中可能包含欧洲反计算机病毒协会 (EICAR) 创建的一段文本,这段文本可以安全的方式被所有反病毒产品检测为病毒,以便人们测试反病毒应用程序,确定其能否正常工作,而且无需使用真正的病毒或其他恶意软件实际感染其设备。 为明确起见 — 此应用程序完全无害,但应该被检测为病毒。 这就是它的全部目的。 如果您在手机上运行反病毒应用程序,则在安装此应用程序时,反病毒应用程序应将其检测为病毒。 有关更多详细信息,请在维基百科上搜索“EICAR标准反病毒测试文件”,或者访问 EICAR 网站 eicar.org。

W.Abcmag.a

名称 W.Abcmag.a
类别
发布日期 2011/09/07
更新编号 7

伪装成各种应用程序,例如 Cake Mania Celebrity Chef 和 The Simpsons Arcade 等,但实际上属于 SMS 短信木马,发送收费 SMS 短信,以从用户帐户中吸费。

W.AutoR.gen

名称 W.AutoR.gen
类别
发布日期 2010/03/24
更新编号 1

在便携式驱动器(通常为闪存驱动器)的根文件夹下存放一个恶意的 Autorun.inf 文件。 此驱动器插入 Windows 计算机时,将显示一个菜单,看起来像是以文件夹行驶打开驱动器,但实际上会运行恶意程序。

W.Autorun.gen2

名称 W.Autorun.gen2
类别
发布日期 2010/06/04
更新编号 1

在便携式驱动器(通常为闪存驱动器)的根文件夹下存放一个恶意的 Autorun.inf 文件。 此驱动器插入 Windows 计算机时,将显示一个菜单,看起来像是以文件夹行驶打开驱动器,但实际上会运行恶意程序。

W.BopSmiley.gen

名称 W.BopSmiley.gen
类别
发布日期 2009/10/02
更新编号 1

MobileSpy 是一个零售间谍软件程序,会通过 SMS 短信的方式将 SMS 短信和通话信息泄露给其他手机。

详细信息: BopSmiley 以名为 MobileSpy 的 CAB 文件的形式传入设备。 目前已知,在安装和执行后,BopSmiley 会添加一些文件,并对设备注册表执行更改:
\Program Files\Smartphone\Smartphone.exe
\Program Files\Smartphone\OpenNETCF.Net.dll
\Program Files\Smartphone\OpenNETCF.dll
\Program Files\Smartphone\hsmsutil.dll
还会创建以下注册表项:
HKEY_CURRENT_USER\Software\RetinaxStudios
RememberUser="0"
AutoLogin="0"
Username""
Password=""
ReportTime="0"
为执行 smartphone.exe,攻击者需要具备物理访问权限,而且需要配置间谍软件,以启用电话通话和 SMS 短信拦截功能。

W.Brador.A

名称 W.Brador.A
类别
发布日期 2008/03/11
更新编号 1

Brador.A 是一种后门程序,仅感染装有 Windows CE(Pocket PC 2000、2002 和 2003 版本)操作系统的 PDA 设备。 Brador.A 会打开一个端口,向其作者发送电子邮件,通知其受感染的 PDF 可通过此开放的端口访问。
Brador 会将自身复制到“开始”文件夹中。 随后,将 PDA 的 IP 地址通过电子邮件发送给后门程序作者,开始侦听 TCP 端口上的命令。 随后,黑客可以通过 TCP 端口连接到 PDA,通过后门控制 PDA。

W.Creeper.gen

名称 W.Creeper.gen
类别
发布日期 2010/10/15
更新编号 1

这是一种手机间谍套件。
只要插入包含传播文件的 SD 卡,它就能静默完成安装。
该程序不会显示在已安装程序或正在运行的程序下,而且允许多种功能。 运行此软件的手机可通过 SMS 文本短信远程控制。 所有命令都将静默接收并立即删除,结果将通过 SMS 短信发回给发送人。

W.Cyppy.gen

名称 W.Cyppy.gen
类别
发布日期 2009/08/06
更新编号 1

一种 SMS 短信木马,尝试向 8055 号码发送 100 条收费 SMS 短信,从用户帐户中吸费。 此 SMS 地址在许多国家/地区均无效。

W.Duts.A

名称 W.Duts.A
类别
发布日期 2008/03/11
更新编号 1

Duts 是面向 Pocket PC 的一种概念验证病毒。

Duts.A 是仅感染带有 EXE 扩展名、平台安装了 Windows Mobile 操作系统的可执行文件。 为此,Duts.A 会在 EXE 文件最后一段中创建其代码的副本,随后将入口点重定向到该代码。
它会感染系统中超过特定长度的的可执行文件,并对入口点进行修补,以便在使用这些可执行文件时执行病毒代码。

W.FlxSpy

名称 W.FlxSpy
类别
发布日期 2008/04/29
更新编号 1

Flexispy 是一种零售间谍软件程序。 由拥有设备物理访问权限的某人安装。 在安装完成后,它将尝试使用误导性的已安装应用程序名称,并且不会显示在应用程序菜单中,通过这种方式隐藏自身。
有可能向间谍监测的服务器泄露 SMS 短信、通话信息和其他敏感信息。
某些版本能够将室内的谈话泄露给间谍。

W.FxSpFp

名称 W.FxSpFp
类别
发布日期 2008/04/29
更新编号 1

Flexispy 是一种零售间谍软件程序。 由拥有设备物理访问权限的某人安装。 在安装完成后,它将尝试使用误导性的已安装应用程序名称,并且不会显示在应用程序菜单中,通过这种方式隐藏自身。
有可能向间谍监测的服务器泄露 SMS 短信、通话信息和其他敏感信息。
某些版本能够将室内的谈话泄露给间谍。

W.FxSpVp

名称 W.FxSpVp
类别
发布日期 2008/04/29
更新编号 1

Flexispy 是一种零售间谍软件程序。 由拥有设备物理访问权限的某人安装。 在安装完成后,它将尝试使用误导性的已安装应用程序名称,并且不会显示在应用程序菜单中,通过这种方式隐藏自身。
有可能向间谍监测的服务器泄露 SMS 短信、通话信息和其他敏感信息。
某些版本能够将室内的谈话泄露给间谍。

W.Infojack.A

名称 W.Infojack.A
类别
发布日期 2008/04/21
更新编号 1

将敏感信息泄露给某个网站。 通过“小游戏集锦”包提供,针对中文用户。
恶意组件可通过受感染的 SD 卡传播。

详细信息: Windows CE 木马,可降低安全设置,下载其他组件。 将设备信息泄露给服务器。
Infojack 可能由已被中国政府关闭的 mobi.xiaomeiti.com 运营者创建并为其谋利。 其目的似乎是开始收集中文 Pocket PC 设备上的设备信息,但还包括通过下载新内容静默升级的功能。 它会尝试自我保护,从备份文件中自我恢复,避开杀毒。 它还会通过记忆卡自我传播。 也会更改设备 Web 浏览器的主页。 感染将随合法程序一起安装。 中文谷歌地图、股票交易程序以及(最常见的)十款小游戏集锦。

W.LBooter.a

名称 W.LBooter.a
类别
发布日期 2010/08/16
更新编号 1

HeRET Linux 引导程序的某个版本会妨碍设备正确重新引导。 通过木马安装。

W.Levar.a

名称 W.Levar.a
类别
发布日期 2011/05/19
更新编号 1

伪装成 AV 程序,但实际上是 SMS 短信木马。

W.Luanch.a

名称 W.Luanch.a
类别
发布日期 2010/08/16
更新编号 1

伪装成电源管理工具、启动器或其他应用程序,但实际上是 SMS 短信木马,通过发送收费 SMS 短信从用户帐户中吸费。

W.MobUn.a

名称 W.MobUn.a
类别
发布日期 2011/09/07
更新编号 7

尝试自行安装,并在每次启动时运行。 向收费号码发送 SMS 段,从用户帐户中吸费。 尝试自行下载更新版本。

W.PMCrypt.gen

名称 W.PMCrypt.gen
类别
发布日期 2010/08/20
更新编号 1

服务拒绝和费用欺诈

详细信息: WinCE.PMCryptic.a 是一种会感染 Windows Mobile 设备的移动设备蠕虫。 此蠕虫通过存储卡传播,已出现多种不同形式,有些人认为这种蠕虫的本质是多形态的。它以可执行文件的形式提供,使用文件夹图标自我伪装,哄骗用户相信此程序可放心执行。 在执行之后,它会在设备目录结构的根目录下存储几个文件,随后执行其中一个文件。 执行这些文件时,将启动 5 个不同的线程,执行以下功能:
-向收费号码拨打电话,从用户帐户中吸费
-禁用正在运行的应用程序的所有输入,导致手机无响应
-每隔几秒钟更改手机的配色方案,最终设置为黑色前景和黑色背景配色方案,导致设备无法使用。
-搜索设备中是否有可拆卸的媒体卡。 如果找到,则在媒体卡上存放一份自己的副本,作为自动运行文件,在媒体卡插入其他设备时执行。
-搜索设备目录结构中的文件夹. 随后,它会复制该文件夹的名称,将其文件夹属性设置为“隐藏”。 隐藏之后,它会将自身复制到该文件夹所在的目录中,并采用与其相同的名称,再次哄骗用户执行“文件夹”。

 

W.Photoview.a

名称 W.Photoview.a
类别
发布日期 2010/09/28
更新编号 1

Cell Phone Recon 是一种多平台间谍软件应用程序

Cell Phone recon 间谍软件一种商业间谍软件应用程序,能在 iPhone 以外的所有主流智能手机平台上运行。 在每种受感染的平台上,Cell Phone Recon 都能通过不向用户提供应用程序图标的方式隐藏自身。 但 Cell Phone Recon 在应用程序列表中显示为“PhotoViewer”。 Cell Phone Recon 提供以下间谍功能:

监控所有传入/传出的 SMS 短信
查看已发和已收电子邮件的内容
记录所有来电/去电/未接来电
监控和跟踪手机的位置
查看 HTML 电子邮件内容,包括内嵌图片


为支持攻击者监控特定设备的位置和通信,Cell Phone Recon 提供了一个便于监控的管理网站。

W.Redoc.gen

名称 W.Redoc.gen
类别
发布日期 2009/05/22
更新编号 1

Redoc 是一种 SMS 短信木马

可能与其他有效的应用程序打包提供,掩盖木马的操作。 但它会向收费号码发送未经授权的 SMS 短信。

W.Sejweek.b

名称 W.Sejweek.b
类别
发布日期 2010/01/13
更新编号 1

Sejweek 是一种 SMS 短信木马,可接入互联网,定期向收费号码发送 SMS 短信。

WinCE/Sejweek.B 以名为“sejweek.bin”的 Microsoft Cabinet 存档文件形式分发。 该存档文件中包含以下恶意组件:
sendservice.exe
setupdll.dll
“setupdll.dll”是由 Windows Mobile 安装进程调用的动态链接库。 恶意软件作者创建此组件的目的是将“sendservice.exe”从“\temp\”复制到“\windows\”。 随后创建用来在安装时运行 WinCE/Sejweek.B 的进程。 “setupdll.dll”不会安装到设备上。
“sendservice.exe”是 Microsoft .NET 可执行文件。 它需要设备上安装 Microsoft .NET Compact Framework 2.0 或更新版本。
WinCE/Sejweek.B 会创建注册表项 HKLM\Init\Launch96,并将其可执行文件作为值添加,以便在启动时运行。
WinCE/Sejweek.B 每隔 5 分钟检查一次当前时间,如果当前时间大于上次发送 SMS 短信的时间,并且当前时间的小时数大于或等于 11,则连接到 URL http://[removed].com/[removed]/get.php,获取其 XML 格式的配置文件。 该文件中包含一个电话号码、短信正文以及发送 SMS 短信的时间间隔。
电话号码和间隔期以编码格式存储在配置文件中。 在对配置值解码之后,WinCE/Sejweek.B 会在其所在的目录中创建名为“servicedata.dat”的文件,并将电话号码、短信正文和间隔期存储到此文件中。
如果服务器在“phone”元素中发送无效数据(例如,无效的编码数据), 这可能导致 WinCE/Sejweek.B 异常终止。

W.Spybub.a

名称 W.Spybub.a
类别
发布日期 2010/02/24
更新编号 1

Spy Bubble 是一种暗中跟踪 GPS 的软件。 Spy Bubble 与市面上的其他 Android 跟踪应用程序极为相似,提供“隐藏”的 GPS 跟踪和各种监控/间谍功能(例如 Mobile Spy)。

Spy Bubble 可跟踪以下行为:

GPS 位置
设备发送/接收的 SMS 短信。
查看通话日志

W.Terdial.gen

名称 W.Terdial.gen
类别
发布日期 2010/07/09
更新编号 1

Terdial 是以 Windows Mobile 设备为目标的木马应用程序。

详细信息: Terdial 木马应用程序有两种不同的形式。 第一种形式伪装成名为“3D Anti-terrorist action”的游戏。 相同木马的另一个版本名为“Codec Pack for Windows Mobile 1.0”。 两种应用程序的有效负载均会暗中定期拨打收费电话号码。

Terdial 包含于以下程序包中:

antiterrorist3d.cab
codecpack.cab

两个程序包均会将一个名为“smart32.exe”的额外文件复制到设备的系统目录下。

在设备受到感染后,Terdial 会向 6 个不同的收费电话号码拨打电话,每次通话之间间隔 50 秒。 该木马的较新版本将通话之间的间隔加大到 500 秒。 以下是已经得到确认的号码:

+8823460777
+17675033611
+88213213214
+25240221601
+2392283261
+881842011123
Terdial 使用以下算法设定的时间间隔确定恶意软件应在何时拨打收费电话:
时间 =(初次执行之日 + 3)及(初次执行的小时 - [0-6 的随机整数])
例如,如果该木马最初在 2010 年 4 月 13 日星期二 1415 小时执行,随机整数为 4,则时间炸弹设置在 2010 年 4 月 16 日星期五的 1015 小时。
如果在此时间炸弹消失之前,应用程序再次执行,则在下个月的相同时间设置第二个时间炸弹。
设为稍后执行的新时间炸弹 =(执行月份 + 1)
例如,如果在 2010 年 4 月 13 日星期二 1422 小时触发第二次执行,则在下个月(即 2010 年 5 月 13 日星期二 1422 小时)设置新炸弹。

 

W.Zitmo.b

名称 W.Zitmo.b
类别
发布日期 2011/03/09
更新编号 1

Zitmo 是影响设备的一种木马应用程序,用于协助 Windows 木马 ZeuS 窃取网上银行凭据。
Zitmo 是第一个与成功窃取受害者网上银行登录凭据的 Windows 木马 Zeus 协同作用的移动设备木马应用程序。 攻击的 Zitmo 部分尝试监控受影响设备的 SMS 短信通信,以拦截受害者银行发来的 SMS 短信身份验证短信。
许多金融机构都开始实施带外身份验证方法,以此保护客户避开欺诈和身份窃取。 已投入实施的方法之一就是银行向客户的移动设备发送一条 SMS 短信,其中包含成功登录网站银行、进行金融交易、处理商业事务所需的必要信息的片段。
Zitmo 可在任意多次社会工程攻击之后进入移动设备,这些攻击的目的在于哄骗用户泄露其手机号码和/或设备型号。 最终目标是让 Zeus 能够哄骗用户在其设备上安装一个应用程序,这个应用程序可能伪装成“安全证书”或其他内容,以验证与银行之间的通信。 在 Zitmo 安装后,发送给设备的任何 SMS 短信都会被木马捕获,通过这种方式寻找捕获的 SMS 短信中包含的 mTAN(移动交易身份验证号码)。
目前,大多数欧洲国家都采用 mTAN 进行身份验证,因此根据地理位置的不同,技术上的一些差异可能导致此攻击无效。

W.jxSMSSpy

名称 W.jxSMSSpy
类别
发布日期 2010/10/15
更新编号 1

零售防窃程序,可用于恶意刺探用户。 由拥有设备物理访问权限的某人安装。
“您可以使用任何手机监控已安装的软件。 还可监控上传到防窃跟踪管理网站的信息。”
将位置、SMS 短信和通话信息泄露给网站。
不会显示在应用程序菜单中。
通过隐匿的 SMS 短信控制。