2015年,国家互联网应急中心(以下简称“CNCERT”)通过自主监测方式,及腾讯公司、安天公司等中国反网络病毒联盟成员单位共享方式,累计发现一系列具有窃取用户短信和通讯录的安卓平台恶意程序716款。该系列恶意程序私自读取用户的短信、通讯录信息,并通过邮件发送到黑客指定的恶意邮箱。CNCERT第一时间对该系列恶意程序所使用的邮箱等进行处置,有效控制了恶意程序的影响范围。现将具体情况通报如下:
一、恶意程序机理分析情况
该系列恶意程序通过伪装成“相片”、“资料”、“违章查询”、“成绩单”等正常应用程序(伪装应用的名称见附表一),通过伪基站或者手机肉鸡以短信方式进行传播,短信内容都带有恶意程序的下载地址,如:
“XXX,老同学好久没联系了。我上传了些相片在微盘,有空的时候下载保存到手机打开激活就看看 http://X.cn/XXXXXX”
“XXX,我发了一条图片彩信给你,点击链接收取http://X.cn/XXXXXX”
该系列恶意程序都具有如下恶意行为:
1)私自读取用户的短信、通讯录信息,并通过邮件发送到指定邮箱,泄露用户隐私;
2)后台私自向指定号码发送短信,消耗用户资费;
3)私自拦截、屏蔽、删除短信,并根据短信指令执行相应的操作,进行远程控制;
4)启动后会隐藏自身图标,诱骗用户激活设备管理器以保护自身不被卸载。
二、影响范围
CNCERT对该恶意程序的控制邮箱进行取证分析,涉及网易邮箱、新浪邮箱和中国移动139邮箱等293个恶意邮箱账户,累计接收包含短信和通讯录等用户信息的邮件662498封。
三、处置措施
CNCERT分析确认该恶意程序的影响范围后,立即启动针对该恶意程序的处置工作。协调网易公司、新浪公司及中国移动公司对恶意程序所用于接收用户信息的293个恶意邮箱账户进行关停处理,切断了黑客窃取用户信息的途径,恶意邮箱账号信息详见附表二。
CNCERT 将继续跟踪事件后续情况,做好国内用户受影响情况的监测和预警工作。同时,请国内相关单位做好信息系统应用情况排查工作,如需技术支援,请联系 CNCERT。电子邮箱: cncert@cert.org.cn,联系电话: 010-82990999。
附表一:伪装应用名称列表
序号
| 名称
| 数量
| 序号
| 名称
| 数量
|
1
| 相片
| 136
| 17
| 中国移动端
| 10
|
2
| 资料
| 119
| 18
| 中国移动SJ
| 6
|
3
| 相册
| 80
| 19
| 档案
| 5
|
4
| 违章查询
| 33
| 20
| 订单
| 5
|
5
| 成绩单
| 23
| 21
| 相 片
| 5
|
6
| 资 料
| 20
| 22
| Android
| 4
|
7
| 聚会相册
| 16
| 23
| 汽车违章
| 4
|
8
| 相 册
| 16
| 24
| 图表
| 4
|
9
| 图片
| 15
| 25
| 资料图
| 4
|
10
| 照片
| 14
| 26
| 10086
| 3
|
11
| 视频
| 13
| 27
| 资 料 >
| 3
|
12
| 3.图片
| 12
| 28
| 交通违章查询
| 3
|
13
| 文档
| 12
| 29
| 聚会照片
| 3
|
14
| 积分客户端
| 11
| 30
| 手机相册
| 3
|
15
| 学生资料
| 10
| 31
| 其他
| 114
|
16
| 中国联通
| 10
|
|
|
|
附表二:黑客控制邮箱账号信息
