Android官方市场再次出现34款恶意软件

    5月30日，Android官方市场再次出现被植入恶意代码的软件。到6月2日，据多方统计，被植入恶意代码的软件已经多达34款，分别由6个不同的开发者账号上传（具体列表参见附录）。根据Android市场的软件信息，有3到12万用户下载了这些软件，受到此次攻击的影响。目前，Google已经从市场上删除了这些软件和账号。

    根据安天实验室的分析，本次被植入的恶意代码位于软件包中的com.passionteam.lightdd，攻击方法与DroidDream木马类似。今年3月，DroidDream曾经被植入Android官方市场的五十余款软件之中，造成较大的影响。

    恶意代码主要由一个服务com.passionteam.lightdd.CoreService和一个广播接收器com.passionteam.lightdd.Receiver组成。（图1）此外，还包括名为prefer.dat的配置文件，使用DES解密后，得到三个远程服务器地址。

图1  恶意代码植入的组件

    每当手机的通话状态改变，就触发广播接收器，进而启动服务。该服务设置10小时的定时器，10小时候，开始搜集用户手机的IMEI、IMSI、国家、语言、系统版本等信息，以及手机中安装的所有应用程序列表，发送到配置文件指定的远程服务器之中（图2）。

图2  恶意代码搜集个人信息

附录：
被植入恶意代码的软件发布账号及受感染软件列表的名单如下：

1. Magic Photo Studio
• Sexy Girls: Hot Japanese
• Sexy Legs
• HOT Girls 4
• Beauty Breasts
• Sex Sound
• Sex Sound: Japanese
• HOT Girls 1
• HOT Girls 2
• HOT Girls 3
2. Mango Studio
• Floating Image Free
• System Monitor
• Super StopWatch and Timer
• System Info Manager
3. E.T. Tean
• Call End Vibrate
4. BeeGoo
• Quick Photo Grid
• Delete Contacts
• Quick Uninstaller
• Contact Master
• Brightness Settings
• Volume Manager
• Super Photo Enhance
• Super Color Flashlight
• Paint Master
5. DroidPlus
• Quick Cleaner
• Super App Manager
• Quick SMS Backup
6. GluMobi
• Tetris
• Bubble Buster Free
• Quick History Eraser
• Super Compass and Leveler
• Go FallDown !
• Solitaire Free
• Scientific Calculator
• TenDrip