pengwang  

来自http://www.csc.ncsu.edu/faculty/jiang/BeanBot/

这一周,我的研究小组在同网秦的合作下,在多个Android市场里发现了一个新的短信木马。这个木马被远程控制。它不仅向命令与控制服务器(C&CServer)发送个人的标识信息,还在后台悄悄地发送短信,造成用户手机账单产生不必要的费用。有趣的是,BeanBot的C&C服务器与之前ZeuS所关联的服务器域名是一样的,这自然引起怀疑它连接到ZeuS病毒,但是我们的研究没有显示出任何这样的连接。

How It Works

BeanBot存在于多个重新包装过的付费应用的免费版本中,然后重新发布在第三方市场里。下面的图片展现了它主要的行为特征:

具体来说,有以下三个关键步骤:

1.被感染的应用有一个主要的控制服务,OperateService。可以通过应用程序里的一个假冒的"升级”界面或者是挂钩特定的系统事件(例如设备重启或是挂断电话)来激活这个服务。

2.一旦启动,BeanBot联系它的C&C服务器(http://xxxxx.gicp.net:8083/sp/sync.action),它提供一个信息筏,包括设备的标识号(IMEI),用户识别码(IMSI)以及电话号码。

3.在与C&C服务器通信握手之后,恶意软件从统一个服务器上不同的地址(http://xxxxx.gicp.net:8081/jserver/sp),这些指令会是例如打开一个网页,拨打一个电话号码或者向一个扣费号码发送短信之类的。在最后一种情况下,一旦已经发送到收件箱的文本消息被清除,C&C服务器就会被告知赚取到的金额以及先前所发送的个人信息。

  BeanBot采取多种措施来隐蔽自己。它是由三个服务器和一个接受者的集合构成的,它们被包含在一个看似来自Google的包里。除此之外,它的C&C服务器地址经过了加密处理,通过解密我们发现它的域名地址与先前的ZeuS是相互关联的,这自然引起怀疑它连接到ZeuS病毒,但是我们的研究没有显示出任何这样的连接。

  已经在一些利用Android Application Licensing(Android应用许可机制)--目的是阻止盗用,的付费应用的重新包装版本中发现BeanBot病毒。恶意软件重写了原始应用程序代码的一小部分,包装了一个框架调用,旨在获取有关应用程序的信息。它并没有直接调用,新的代码调用了原始框架调用,但是在返回对象的时候改变了某些地方,以欺骗Licensing代码。这样,BeanBot以最小的改动使用原应用的代码。

Mitigation(预防措施):

Due to the fact that BeanBot can be remotely controlled, we consider it poses serious threats to mobile users. For mitigation, please follow common-sense guidelines for smartphone security. For example,

  • download apps from reputable app stores that you trust; and always check reviews, ratings as well as developer information before downloading;(从正规网站下载应用程序)
  • check the permissions on apps before you actually install them and make sure you are comfortable with the data they will be accessing;(检查所安装的应用程序是否申请可疑权限)
  • be alert for unusual behavior on the part of mobile phones and make sure you have up-to-date security software installed on your phone.(注意手机是否出现异常;确保安装了最新版的安全软件)
posted on 2011-10-17 11:25  pengwang  阅读(493)  评论(0编辑  收藏  举报