Trojan/Android.Raden.a[SMS]分析报告

一、 基本信息

病毒名称：Trojan/Android.Raden.a[SMS]
病毒类型：短信扣费木马
样本MD5：ACBCAD45094DE7E877B656DB1C28ADA2
样本长度： 782,964 字节
发现时间：2011.05.12
感染系统：Android 1.5及以上

二、 概述

    Raden木马出现在Android手机的Google官方市场之上，它伪装成名为iCalendar（中文名“兔兔日历”）的一款日历软件，实际上发送扣费短信。具体而言，当用户浏览至5月的日历时，软件将向号码1066185829发送内容为“921X1”的短信，该号码为收费服务号码。此外，Raden拦截包括10086、10010、10000、1066185829等号码发来的短信，因此，用户无法发觉手机被恶意扣费。

    Raden木马被发现时，已经在官方市场上至少23天。随后，Google删除了作者“zsone”发布的所有13款软件。这是继DroidDream木马（又名Rootcager）在今年3月初爆发以来，官方市场上再次出现恶意代码。

    用户可以下载安天实验室提供的AVL SDK for Android手机杀毒软件来检测并清除这一木马。

三、 样本特征

1. 敏感权限
android.permission.RECEIVE_SMS 接收短信
android.permission.SEND_SMS 发送短信
2. 入口点和恶意模块
活动（Activity）com.mj.iCalendar. iCalendar，是程序的主活动，其中包含向指定号码发送扣费短信的代码。
接收器（Receiver）com.mj.iCalendar.SmsReceiver，由android.provider.Telephony.SMS_RECEIVED事件触发，用于拦截指定号码发来的短信。
3. 敏感字符串
拦截的号码：”10086”、”10000”、”10010”、”1066185829”、”1066133”、”106601412004”
发送目标的号码及内容：”1066185829”、” 921X1”
4. 开启服务
无
5. 联网特征
无

四、 行为分析

1. 拦截信息
当用户手机在接收到短信时，接收器com.mj.iCalendar.SmsReceiver启动，对当前发送来的信息的号码进行验证拦截，如果所发信息的号码来源于10086、10000、10010、1066185829、1066133、106601412004中的任何一个，则自动调用abortBroadcast()事件进行拦截，这样会使用户不能得到验证码或其相关的信息，影响其相关功能及业务的应用。具体恶意代码如下：

触发调用图片（月份）切换事件，代码如下：

触发调用发送信息的事件，代码如下：

触发发送信息事件及触发调用更新state的值的事件，代码如下：

触发更新state的值的事件，代码如下：

清除方案

    用户可以下载安天实验室提供的AVL SDK for Android手机杀毒软件来检测并清除这一木马。