9月22日,CNCERT监测发现一个Android平台手机木马病毒A.Privacy.cckun.a,该病毒具有隐私窃取、远程控制、恶意传播、系统破坏等一系列高危恶意行为,通过短信方式向联系人传播该木马病毒,并通过后台下载更为复杂的手机木马病毒A.Privacy.SmsServices.a,窃取用户的银行账户、密码、手机号等隐私信息。具体情况如下:
一、恶意程序运行过程
手机木马病毒A.Privacy.cckun.a的运行过程如下:
1、在用户不知情的情况下,通过后台向运程控制端上传手机号码、数字证书等隐私信息;
2、通过后台从远程控制端下载恶意信息模板,恶意短信内容包含下载该病毒的恶意URL链接,涉及域名包括和;
3、遍历被感染用户的通讯录,向所有联系人发送恶意短信,诱骗联系人点击恶意URL链接下载该病毒;
4、检测用户是否安装韩国友利银行、国民银行、农协银行等3个银行的手机银行客户端;
5、如果用户未安装上述手机银行客户端,通过后台从运程控制端下载仿冒以上3个手机银行客户端的手机木马病毒A.Privacy.SmsServices.a;
6、如果用户已安装上述手机银行客户端,会强行卸载已安装的手机银行客户端,并通过后台从运程控制端下载仿冒以上3个手机银行客户端的手机木马病毒A.Privacy.SmsServices.a。
手机木马病毒A.Privacy.SmsServices.a的运行过程如下:
1、伪造与原有银行相同的界面,诱骗用户输入银行账户信息进行窃取;
2、在用户不知情的情况下,通过后台上传用户短信、手机号、手机型号等隐私信息;
3、通过后台发送短信,并删除已发送的短信;
4、屏蔽含有数字内容的接收短信;
5、将手机设置为静音,拦截特定手机号的来电,同时将向特定手机号的去电设置为NULL,导致用户无法向特定手机号拨打电话。
二、恶意程序传播情况
该手机病毒通过向手机联系人发送如下短信“Start http://198.148.81.76”来传播。手机用户访问以上URL链接后,该手机病毒会被自动下载并安装。同时CNCERT还监测发现该病毒会通过rd.wechat.com和m.baidu.com等URL链接进行传播。
9月22日,中国电信、中国移动紧急对该病毒涉及的传播源地址和控制端地址进行网内处置,及时遏制了该病毒的蔓延。
截止9月23日上午,CNCERT在全网范围内监测发现,仍用数千名用户感染该病毒。
三、恶意程序处置情况
为有效遏制该手机木马病毒的大规模蔓延,CNCERT已在第一时间从网络侧和终端侧两大方面开展处置工作,其中,网络侧处置情况如下:
1、通知该手机病毒涉及域名和所在的域名注册商(成都西部数码)对以上域名进行关停,目前已无法访问;
2、通知各运营商在网内对该恶意程序所涉及的URL链接进行处置;
3、要求运营商严查是否存在短信群发机用于传播该恶意短信;
4、该病毒的控制端IP地址位于香港和美国,协调HKCERT 和 USCERT 核查该病毒所涉及的IP地址信息。
终端侧处置情况如下:
1、将该病毒信息在ANVA移动互联网恶意程序报送平台的黑名单中进行发布;
2、将该病毒程序样本在中国反网络病毒联盟中进行共享,通知360、腾迅、金山、百度、安全管家、联想等终端安全厂商更新病毒特征,在终端侧查杀该病毒。
CNCERT将继续跟踪事件后续情况,做好国内用户受影响情况的监测和预警工作。同时,请国内相关单位做好信息系统应用情况排查工作,如需技术支援,请联系CNCERT。电子邮箱:联系电话:010-82990999。
(注:ANVA成员单位——中国电信集团公司、恒安嘉新(北京)科技有限公司对此次事件进行了较为深入的分析)