Android Market 程式，更新變病毒

Android 平台上的惡意軟件散播手法有多日新月異？究竟為什麼用戶會不知覺地安裝了間諜軟件呢？相信這次事件可以讓大家知道更多智能手機平台上，惡意軟件的發展及入侵技巧。

今年七月時，芬蘭保安軟件公司 F-Secure 已經發現了一個名為 Spyware:Android/SndApps、能偷取個人資料的間諜軟件所採用的技巧。一開始，這惡意軟件會以「實用程式」或遊戲去包裝自己，並放到官方的 Android Market 上讓人下載。於安裝時，它只會要求「連接互聯網」的權限。可是在一段時間之後，該程式便提供最新版本供用戶更新。就在這個看似「改良版」面世、用戶防範意識減低了的時候，它便會再要求其他權限，以拿取用戶的個人資料。自此之後， F-Secure 開始留意有沒有其他惡意軟件使用同一技巧，而今天便發現了一個最新而有趣的威脅……

今天 F-Secure 發現的，是一個稱為「理財記賬本」的軟件的「加料」版。「理財記賬本」之前在官方 Android Market 上供人下載了一段時間，而今天這軟件利用「軟件更新」渠道，將用戶原有的「無毒」版「理財記賬本」加料變成有毒間諜軟件。新的加料版「理財記賬本」雖然已經不再存放於 Android Market，但我們仍然在一些中國的網站發現這軟件：

以上是安裝「理財記賬本」時的情況。安裝時，程式會要求用家批准軟件拿取互聯網連接等權限：

安裝好之後，程式會立即通知用戶有更新版本，要求用戶下載。用戶下載及安裝新版本時，程式會有「更多」的「功能」……  這次，「理財記賬本」要求更加多的權限，包括SMS和MMS的使用、手機的位置等等 ( 問題來了，一個「理財記賬本」為什麼要知道用戶這麼多的資料呢？)：

安裝完成後，用戶可能會看見顯示程式停止了，原因可能是這個惡意軟件仍是以Android 2.2為藍本編寫，而測試的手機為Android 2.3版本。之後，當「理財記賬本」奪得Root的使用權，他會把一個名為init.db的檔案安裝。這個檔案雖然表面上是一個資料庫 (Database)，實際上是一個名為DroidKungFu木馬惡意軟件的APK檔案，用作進一步紀錄用戶的個人資料，甚至上載至網絡 

其實，這個稱為DroidKungFu的木馬惡意軟件已經出現了好一陣子，今次這是一個變種，被F-Secure辨認和稱為Trojan:Android/DroidKungFu.C和
Trojan-Downloader:Android/DroidKungFu.E。

在我們分析程式的包裝和編碼時發現這次威脅最可怕的，是這個加料版「理財記賬本」，可能能夠奪得Root的使用權，技術上可以造成更嚴重的破壞。F-Secure 大中華區總監李力恆表示：「雖然我們在Android平台上安裝軟件時，知道軟件需要拿取什麼權限，看似很高透明度，但其實軟件為什麼要拿取這些權限並不是一般用家容易得知的。所以，用家必須小心分析，不要盲目接受軟件拿取權限，遇到可疑便可能要停止安裝，以防不法防子借機偷取或破壞手機裡的資料。」

分享到 :

最新影片