一、 基本信息
病毒名称:Trojan/Android.Smspacem
病毒类型:木马
样本MD5:60CE9B29A6B9C7EE22604ED5E08E8D8A
样本长度:1855,053 字节
发现时间:2011.05.22
感染系统:Android 2.1及以上
二、 概述
Smspacem木马主要行为是当开机自启动时,启动该木马,被该恶意软件感染的设备会自动获取手机用户的通讯录中的信息(联系人名称、电话号码、Email等),自动向其联系人电话发送短信,其内容为事先编辑好的,如“现在无法通话,世界末日即将来临”等;该软件还试图访问指定的主机服务,并将被感染设备的通讯录中获得的邮箱地址发送到远程服务器上;最后还将被感染设备的壁纸修改为事先设定好的图像。
当接收到短信时,被该恶意软件感染的设备在接收短信时,短信将被拦截,并且该恶意软件将删除短信数据库中的短信,并且向该短信的发送地址发送一条信息,信息内容为事先编辑好的,如 “现在无法通话,世界末日即将来临”等。
这一类的木马主要是源于最近的关于世界末日将于2011年5月21日来临的新闻所引起。抵御木马的关键是用户要对自己的设备进行安全设置,并在安装软件后查看其权限,是否有敏感的权限等。
图 1 Holy软件界面及特殊权限
三、 样本特征
1.敏感权限
允许应用程序访问设备的手机功能。有此权限的应用程序可确定此手机的号码和序列号,是否正在通话,以及对方的号码等。
允许应用程序发送短信。恶意应用程序可能会不经您的确认就发送信息,给您带来费用。
允许应用程序写入手机或 SIM 卡中存储的短信。恶意应用程序可借此删除您的信息。
允许应用程序读取您的手机或 SIM 卡中存储的短信。恶意应用程序可借此读取您的机密信息。
允许应用程序接收和处理短信。恶意应用程序可借此监视您的信息,或者将信息删除而不向您显示。
允许应用程序读取您手机上存储的所有联系人(地址)数据。恶意应用程序可借此将您的数据发送给其他人。
允许应用程序在系统完成启动后即自行启动。这样会延长手机的启动时间,而且如果应用程序一直运行,会降低手机的整体速度。
2.入口点和恶意模块
接收器(Receiver) com.YahwehOrNoWay.PostingServiceReceiver,由通过android.intent.action.BOOT_COMPLETED事件(开机自启动)触发,用于启动服务com.YahwehOrNoWay.theword,来执行被植入的恶意代码。
接收器(Receiver) com.YahwehOrNoWay.SMSsmack,由通过android.provider.Telephony.SMS_RECEIVED事件(接收短消息)触发。
服务(Service)com.YahwehOrNoWay.theword,恶意模块。
四、 行为分析
1.服务com.YahwehOrNoWay.theword的行为分析
1)当前设备的日期的字符串格式为“05212011”的行为
通过获得当前设备的日期,并将其转换成“MMddyyyy”格式的字符串类型,与“05212011”进行判断是否相等,如果相等,则创建数据库mydb,创建表myTable,如(图 2),表中只有一个字段,字段名为status,并表中插入一条信息,内容为“endoftheworld”;然后声明一个字符串数组,作为发送信息的内容,如(图 3),存储内容如下:
“Cannot talk right now, the world is about to end”
“Jebus is way over due for a come back”
“Its the Raptures,praise Jebus”
“Prepare to meet thy maker,make sure to hedge your bet just in case the Muslims’ were right”
“Just saw the four horsemen of the apocalypse and man did they have the worst case of road rage”
“Es el fin del mundo”
然后设置墙纸图片为"colbert.jpg",如(图 4);再通过ContactsContract.Contacts.CONTENT_URI,获得当前手机用户的通讯录的信息(如图 5),获得联系人ID、联系人名称及是否有电话号码属性,然后当有电话号码属性值大于0时,在通过ContactsContract.CommonDataKinds.Phone.CONTENT_URI (查询手机中的电话)来得到通讯录中联系人的电话号码。并随机取以上字符串数组中一条为信息的内容,发送给获得的通讯录中所有联系人的手机号码。(如图 6)。
图 2 创建数据库及表
图 3 设置发送信息的内容
图 4 设置墙纸
图 5 获得通讯录信息
图 6 发送信息
2)当前设备的日期的字符串格式为“05222011”的行为
如果当前获得的设备的日期格式不为“05212011”,而是“05222011”,则通过ContactsContract.Contacts.CONTENT_URI获得当前手机用户的通讯录的信息,获得联系人ID、联系人名称及是否有电话号码属性,然后当有电话号码属性值大于0时,在通过ContactsContract.CommonDataKinds.Phone.CONTENT_URI (查询手机中的电话)来得到通讯录中联系人的电话号码, 并将“Looks like Jebus is a no show, maybe Judaism was on to something”作为内容发送给通讯录中所有联系人的手机号码;当通讯录中的信息为空时,设置墙纸为“hammer.jpg”;并且执行下一行为。
3)获得的字符串为“formula401”时的行为
当前日期所获得的字符串格式不是“05212011”或“05222011”时,通过获得的字符串判定是否为“formula401”,如果是,则通过ContactsContract.Contacts.CONTENT_URI获得当前手机用户的通讯录的信息,获得联系人ID、联系人名称及是否有电话号码等属性,然后当有电话号码属性值大于0时,在通过ContactsContract.CommonDataKinds.Phone.CONTENT_URI (查询手机中的电话)来得到通讯录中联系人的电话号码, 并将“You have to download this and thank me later”以及“http://turbobit.net/3qijra41byed.html”、“http://turbobit.net/9fzlltk2eptu.html”、“http://turbobit.net/9c19sk0tcg8z.html”三个地址作为内容发送给通讯录中的所有联系人的手机号码(如图 7)。如果否则执行下个行为。
图 7 短信内容的三个url地址
4)获得的字符串为“pacem”时的行为
通过判定获得的字符串是否为“pacem”,如果是则通过则通过ContactsContract.Contacts.CONTENT_URI获得当前手机用户的通讯录的信息,获得联系人ID、联系人名称及是否有电话号码等属性,然后当有电话号码属性值大于0时,在通过ContactsContract.CommonDataKinds.Email.CONTENT_URI (查询电子邮件地址表),获得通讯录中的联系人的邮件地址,通过调用函数将邮件地址作为参数,去请求url地址http://www.comedycentral.com/global/feeds/entertainment/media/submit_entry.jhtml?collectionID=96&email=&format=json&jsoncallback=?。(如图 8)
图 8 请求远程服务器
2.广播接收器com.YahwehOrNoWay.SMSsmack的行为
通过android.provider.Telephony.SMS_RECEIVED(接收短信事件)启动SMSsmack广播事件,当获得当前设备日期的字符串格式等于“05212011”,并且读取数据库mydb中的myTable表中的值等于“endoftheworld”时,然后截取接收短信中发信息的号码、短信内容,当短信内容中含有“health”时,通过abortBroadcast()拦截短信(如图 9);并且读取短信数据库(content://sms/),进行查询短信序号、对话的序号、发信人地址(手机号),条件是匹配当前截取的短信的号码,并按照发短消息的时间进行排序,如果短信数据库中存在当前截取的发送过来短信的号码,则在短信数据库中删除此号码的所有信息(如图 10),之后向此号码发送一条短信,短信内容为随机选择如下信息中的一条:
“Cannot talk right now, the world is about to end”
“Jebus is way over due for a come back”
“Its the Raptures,praise Jebus”
“Prepare to meet thy maker, make sure to hedge your bet just in case the Muslims were right”
“Just saw the four horsemen of the apocalypse and man did they have the worst case of road rage”
“Es el fin del mundo”
“I am infected and alive ver 1.00”
图 9 拦截短信
图 10删除短信
|
