警告:小心预装恶意软件!

中国主要电视台CCTV每年3月15日,即国际消费者权益日都会举办”315晚会”。这个一年一次的盛会上会大量揭露与消费者侵权相关的事件。今年晚会上公布的多个侵权事件中,其中一例是智能手机销售渠道商在安卓手机上预装恶意软件,然后将其销售给不知情的用户。 如节目中所揭露的,预装的恶意软件名为DataService: 在有关于此的另一则新闻中,我们发现了此恶意软件的md5: 这种恶意软件被卡巴斯基检测为Trojan.AndroidOS.Uupay.a。它不是一种独立的程序,而是与普通的安卓应用程序一起工作,这意味着大多数用户对此一无所知,直到收到夸张的电话帐单时才会发现有问题。那么”DataService”恶意软件究竟是做什么的呢?据报道,它可以上载大量信息,像IMEI、MAC地址、手机型号、安装应用列表等。此外,还能推送大量广告,并下载特定应用程序。下面我们将从代码级别深入地了解并验证这些功能。 首先,我们将从大体上来看看该恶意软件应用包中解压出的AndroidManifest.xml,它提供了关于应用的基本信息。只需看一眼,我们就能看出该文件确实获取了各种敏感权限,其中一些权限会让您进行消费,并有权访问您的敏感信息: 另外还有一些URL引人注意: 稍后我们将解释这些URL是如何使用的。 对此恶意软件的某些变种进行反编译后,我们发现,它们都包含名称类似com.google.hfapservice和com.uucun.android的软件包。 虽然名称中包含google,但com.google.hfapservice与google没有任何关系,它可用于在后台下载其他应用。 下载后以静默方式安装。 它使用Airpush提供的推送服务: 运行用于访存和显示被推送广告的服务: 下载被推送的应用: 它还能从手机中获取各种细节信息,包括IMEI、MAC地址、手机型号、安装应用列表等。 名称类似com.uucun.android的软件包还含有代码,用于显示、下载和安装此软件包中的广告或其他应用。 从手机中收集信息: 然后将这些信息发送到服务器: 使用动态分析,我们跟踪到该恶意软件的网络流量,发现它会向http://******mall1.plat96.com/进行请求,以获取需要访存的应用列表: http://******mall1.plat96.com/本身看起来是某种类型的非官方安卓商店: 我们从访存列表中下载了一些应用,所有这些应用都包含与DataService类型相同的恶意软件。 现在,我们已经很清楚DataService恶意软件的主要功能,但我们的目的并不仅于此。这种恶意软件是怎样预装到数量如此庞大的全新手机中的?在”315晚会”上,CCTV的记者揭开了神秘的面纱。记者发现,一家附属于大唐电信科技产业集团的公司高鸿股份使用产品”大唐神器”来提供一种安卓应用预装服务。截止目前,高鸿股份已经拥有4600多家预装加盟代理商。这些代理商安装的应用数已超过4600万,每个月都会有100多万台手机上预装各种应用。 “大唐神器”究竟长什么样?它看上去不像一件艺术品,只是像下图这样的一个设备。 据称此设备能够在几分钟内就将设备中的所有应用自动安装到安卓手机上。下面的应用菜单附带价格表,每安装一件的价格从10到50美分不等。 通过预装列出的应用,高鸿股份加盟商即可以向高鸿收取费用,具体根据安装的应用数量计费。 此外,有报告指出,高鸿预装的应用会窃取用户的隐私信息。高鸿承认确有此事,但同时声称他们只是收集IMEI、MAC地址、型号和应用列表等统计信息,不会采集与手机号、通讯录和通话记录等相关的信息。但我们发现收集用户敏感隐私信息的Trojan-Spy.AndroidOS.Agent.k似乎与高鸿有着某种关系。 从反编译的代码中,我们可以看出它确实能上传用户的通话记录,并在30秒后重拨。 只要对www.goohi.cn执行简单的ping操作,就可以验证该IP地址是否确实与高鸿相关。 我们看到的IP地址与在恶意软件中看到的完全一样。虽然CCTV曝光说DataService恶意软件可能已预装到手机,也提到高鸿的”大唐神器”可用于此目的,但单从CCTV的报道来看我们还无法确认这两者间有确实的联系。然而根据”uucun”和一则有关uucun的新闻,我们发现它具有能在1亿多台手机上进行预装的预装渠道。 这不能不让我们对DataService恶意软件的预装渠道展开联想。

中国主要电视台CCTV每年3月15日,即国际消费者权益日都会举办”315晚会”。这个一年一次的盛会上会大量揭露与消费者侵权相关的事件。今年晚会上公布的多个侵权事件中,其中一例是智能手机销售渠道商在安卓手机上预装恶意软件,然后将其销售给不知情的用户。

如节目中所揭露的,预装的恶意软件名为DataService:

在有关于此的另一则新闻中,我们发现了此恶意软件的md5:

这种恶意软件被卡巴斯基检测为Trojan.AndroidOS.Uupay.a。它不是一种独立的程序,而是与普通的安卓应用程序一起工作,这意味着大多数用户对此一无所知,直到收到夸张的电话帐单时才会发现有问题。那么”DataService”恶意软件究竟是做什么的呢?据报道,它可以上载大量信息,像IMEI、MAC地址、手机型号、安装应用列表等。此外,还能推送大量广告,并下载特定应用程序。下面我们将从代码级别深入地了解并验证这些功能。

首先,我们将从大体上来看看该恶意软件应用包中解压出的AndroidManifest.xml,它提供了关于应用的基本信息。只需看一眼,我们就能看出该文件确实获取了各种敏感权限,其中一些权限会让您进行消费,并有权访问您的敏感信息:

另外还有一些URL引人注意:

稍后我们将解释这些URL是如何使用的。

对此恶意软件的某些变种进行反编译后,我们发现,它们都包含名称类似com.google.hfapservice和com.uucun.android的软件包。

虽然名称中包含google,但com.google.hfapservice与google没有任何关系,它可用于在后台下载其他应用。

下载后以静默方式安装。

它使用Airpush提供的推送服务:

运行用于访存和显示被推送广告的服务:

下载被推送的应用:

它还能从手机中获取各种细节信息,包括IMEI、MAC地址、手机型号、安装应用列表等。

名称类似com.uucun.android的软件包还含有代码,用于显示、下载和安装此软件包中的广告或其他应用。

从手机中收集信息:

然后将这些信息发送到服务器:

使用动态分析,我们跟踪到该恶意软件的网络流量,发现它会向http://******mall1.plat96.com/进行请求,以获取需要访存的应用列表:

http://******mall1.plat96.com/本身看起来是某种类型的非官方安卓商店:

我们从访存列表中下载了一些应用,所有这些应用都包含与DataService类型相同的恶意软件。

现在,我们已经很清楚DataService恶意软件的主要功能,但我们的目的并不仅于此。这种恶意软件是怎样预装到数量如此庞大的全新手机中的?在”315晚会”上,CCTV的记者揭开了神秘的面纱。记者发现,一家附属于大唐电信科技产业集团的公司高鸿股份使用产品”大唐神器”来提供一种安卓应用预装服务。截止目前,高鸿股份已经拥有4600多家预装加盟代理商。这些代理商安装的应用数已超过4600万,每个月都会有100多万台手机上预装各种应用。

“大唐神器”究竟长什么样?它看上去不像一件艺术品,只是像下图这样的一个设备。

据称此设备能够在几分钟内就将设备中的所有应用自动安装到安卓手机上。下面的应用菜单附带价格表,每安装一件的价格从10到50美分不等。

通过预装列出的应用,高鸿股份加盟商即可以向高鸿收取费用,具体根据安装的应用数量计费。

此外,有报告指出,高鸿预装的应用会窃取用户的隐私信息。高鸿承认确有此事,但同时声称他们只是收集IMEI、MAC地址、型号和应用列表等统计信息,不会采集与手机号、通讯录和通话记录等相关的信息。但我们发现收集用户敏感隐私信息的Trojan-Spy.AndroidOS.Agent.k似乎与高鸿有着某种关系。

从反编译的代码中,我们可以看出它确实能上传用户的通话记录,并在30秒后重拨。

只要对www.goohi.cn执行简单的ping操作,就可以验证该IP地址是否确实与高鸿相关。

我们看到的IP地址与在恶意软件中看到的完全一样。虽然CCTV曝光说DataService恶意软件可能已预装到手机,也提到高鸿的”大唐神器”可用于此目的,但单从CCTV的报道来看我们还无法确认这两者间有确实的联系。然而根据”uucun”和一则有关uucun的新闻,我们发现它具有能在1亿多台手机上进行预装的预装渠道。

这不能不让我们对DataService恶意软件的预装渠道展开联想。

移动设备春季”大扫除”

春季是卫生大扫除的好时节,家里、壁橱还有电脑,全都不能放过。如今智能手机和电脑一样在生活中占据着核心地位,因此对手机进行”大扫除”,使其尽可能高效、干净地保持运行也同样重要。 不妨试试按照以下步骤对您的iPhone以及安卓手机进行”大扫除”。 iPhone手机: 1.清理存储空间:在硬盘上尽可能保留500MB到1GB可用空间,这样应用才不会有运行崩溃的风险。转至”设置”,点击”通用”,然后点击”用量”。在此将看到手机上的所有应用,以及这些应用所占用的空间。有些应用(如相机)会占用大量空间,但可以删除其中部分文件(如照片),以尽可能减少数据容量。而另一些应用程序(如游戏或社交媒体应用程序)可能下载的时候只有10-15 MB大小,但在手机上保留的时间越长,则占用的空间越多,有时甚至可达到数百MB。删除并重新安装这些应用可使其恢复到原始大小,从而释放硬盘上的空间。 2. 整合应用程序:首先删除应用程序,即通过iTunes删除不再使用的任何应用程序或在iPhone上长按应用程序图标,然后点击屏幕开始晃动时出现在左上角的×来删除相应的应用程序。接着对屏幕上的应用分组到各个相应文件夹中 – 将所有与照片相关的应用程序放一个文件夹,所有社交媒体应用程序放另一个文件夹,地理位置应用程序(如地图、四方等)按上述方法相同操作。 互联网恶意软件中以移动设备为目标的所占比例呈上升趋势,着实令人担忧。 3.优化电池性能:如果电池迅速耗尽,则应在”设置”中执行重要步骤来清理电池。其中许多步骤与限制推送通知、位置服务和禁用ping相关。Buzzfeed最近写了一篇有关如何优化电池性能的权威指南,指南分为13步,您应该逐步对照检查。http://www.buzzfeed.com/alanwhite/13-reasons-your-iphone-keeps-running-out-of-battery 安卓系统手机: 1. 清理存储空间:安卓设备是将数据存储在SD存储卡和保存应用程序的内部空间中,首先,删除设备上不再需要的音乐、照片和照片文件(确保已先将这些内容备份在其他位置)。此外,还应删除与设备上已删除的旧应用程序关联的所有文件夹。 2. 整合并优化应用:首先删除不再使用的应用程序。接着清除应用程序缓存,方法是在设备的”设置”中转至应用的属性,点击”清除缓存”。逐个应用程序来清除缓存相当耗费时间,可以使用像”应用缓存清除程序”这样的应用来自动执行并加快清除过程。 3. 优化电池性能:提高电池性的第一步是调整一些基本设置,例如调低屏幕亮度,不使用蓝牙和Wi-Fi时将其禁用。还应该限制应用访问的后台数据。例如,禁用电子邮件或Facebook和Twitter等应用的自动同步功能总能或多或少减少电池电量消耗。可以禁用所有应用程序的后台数据,方法是转至”设置 – 数据用量”,然后点击屏幕左上角的三个点来启动上下文菜单,将”自动同步数据”切换到”关闭”,然后点击”确定”。 互联网恶意软件中以移动设备为目标的所占比例呈上升趋势,尤以安卓设备的情况最为严重,着实令人担忧,因此优化智能手机和平板电脑所必需额外执行的第七步是下载和/或更新可靠的移动安全套件。

提示