Android Market 程式,更新變病毒

Published by
肥倫

Android 平台上的惡意軟件散播手法有多日新月異?究竟為什麼用戶會不知覺地安裝了間諜軟件呢?相信這次事件可以讓大家知道更多智能手機平台上,惡意軟件的發展及入侵技巧。

今年七月時,芬蘭保安軟件公司 F-Secure 已經發現了一個名為 Spyware:Android/SndApps、能偷取個人資料的間諜軟件所採用的技巧。一開始,這惡意軟件會以「實用程式」或遊戲去包裝自己,並放到官方的 Android Market 上讓人下載。於安裝時,它只會要求「連接互聯網」的權限。可是在一段時間之後,該程式便提供最新版本供用戶更新。就在這個看似「改良版」面世、用戶防範意識減低了的時候,它便會再要求其他權限,以拿取用戶的個人資料。自此之後, F-Secure 開始留意有沒有其他惡意軟件使用同一技巧,而今天便發現了一個最新而有趣的威脅……

今天 F-Secure 發現的,是一個稱為「理財記賬本」的軟件的「加料」版。「理財記賬本」之前在官方 Android Market 上供人下載了一段時間,而今天這軟件利用「軟件更新」渠道,將用戶原有的「無毒」版「理財記賬本」加料變成有毒間諜軟件。新的加料版「理財記賬本」雖然已經不再存放於 Android Market,但我們仍然在一些中國的網站發現這軟件:

以上是安裝「理財記賬本」時的情況。安裝時,程式會要求用家批准軟件拿取互聯網連接等權限:

安裝好之後,程式會立即通知用戶有更新版本,要求用戶下載。用戶下載及安裝新版本時,程式會有「更多」的「功能」……  這次,「理財記賬本」要求更加多的權限,包括SMS和MMS的使用、手機的位置等等 ( 問題來了,一個「理財記賬本」為什麼要知道用戶這麼多的資料呢?):

安裝完成後,用戶可能會看見顯示程式停止了,原因可能是這個惡意軟件仍是以Android 2.2為藍本編寫,而測試的手機為Android 2.3版本。之後,當「理財記賬本」奪得Root的使用權,他會把一個名為init.db的檔案安裝。這個檔案雖然表面上是一個資料庫 (Database),實際上是一個名為DroidKungFu木馬惡意軟件的APK檔案,用作進一步紀錄用戶的個人資料,甚至上載至網絡 

其實,這個稱為DroidKungFu的木馬惡意軟件已經出現了好一陣子,今次這是一個變種,被F-Secure辨認和稱為Trojan:Android/DroidKungFu.C和
Trojan-Downloader:Android/DroidKungFu.E。

在我們分析程式的包裝和編碼時發現這次威脅最可怕的,是這個加料版「理財記賬本」,可能能夠奪得Root的使用權,技術上可以造成更嚴重的破壞。F-Secure 大中華區總監李力恆表示:「雖然我們在Android平台上安裝軟件時,知道軟件需要拿取什麼權限,看似很高透明度,但其實軟件為什麼要拿取這些權限並不是一般用家容易得知的。所以,用家必須小心分析,不要盲目接受軟件拿取權限,遇到可疑便可能要停止安裝,以防不法防子借機偷取或破壞手機裡的資料。」

Published by
肥倫