此前央视报道的短信链接病毒,说是病毒,其实它充其量算是个恶意程序罢了,只是众多媒体过度渲染,加上众多安全公司无节操的借机炒作,将这一款恶意程序神话成了“超级病毒”。那么,本文中小编就和大家说说短信病毒如何中招和手机病毒的前因后果。
之所以说它是恶意程序,是因为当你点击链接,手机会提示你进行下载,下载完安装时,你可以很清楚的看到软件的相关权限,显示会发送短信、读取通讯录以及修改通讯录。如果大家对于软件调用权限比较敏感,可以很轻松的避免中招。
在发送成功后,应用会执行参数:
SmsManager.getDefault().sendTextMessage(“恶意程序发布者的手机号″, null, “XXshenqi 群发链接OK”, null, null);
也就是向恶意程序发布者预设的手机号反馈执行信息。
在执行了上面一系列动作后,恶意软件会开启一个MainActivity,在这个Activity中,安装一个com.example.com.android.trogoogle的文件,这个文件一般存在于xxshenqi.apk解压后文件的assets目录下。如果非要细究这个文件是什么的话,大家可以把它理解为木马,这一程序能够自动隐藏图标。 同时弹出一个登录框,只不过这个登陆框是个幌子,无论你怎么输入都会出现密码错误或者账户不存在的提示,目的是将用户导入到一个注册页面:RegisterActivity中。
而这个RegisterActivity也并非是真的注册页面,在这个页面中,会让用户输入很多信息,比如身份证号以及姓名。如果你输入了信息,并点击了注册按钮,那么你的信息就会发送到恶意程序发布者的手机上。如果真的到了这步,xxshenqi.apk的任务其实已经基本完成了,即使你发现了不对,卸载了程序也没有用,因为刚刚木马已经安装到你的手机中了。木马程序会自动执行隐藏图标的功能,接着打开一个ListenMessageService的服务,在后台运行。
ListenMessageService服务,首先会注册一个短信数据库的观察者,检测短信数据库的变化,一旦用户的短信数据库发生变化(收到信息或者更新信息),那么观察者就会执行回调函数执行,首先判断是否是命令短信,命令短信是用来向木马发送命令的。截获的短信会全部发往黑客手中,值得注意的是一般木马都会自行判断短信的优先级,比如一些银行、支付平台发送的验证码,一般都会被单独处理。
这类木马中一般都具备发送伪造短信给用户的功能,算是种自我保护措施,日常不带关键词的短信木马是不会进行拦截并发送的,防止用户过早发现。
除此之外,多数手机木马存在的恶意行为是读取用户收件发件箱短信,以及手机中的联系人。 当截获完短信之后,木马就又开启了一个MySendEmailService服务。这个服务主要用于给黑客发送电子邮件,邮件中多包含主机,端口,账户名,密码等重要信息。
作为补充,多数木马还可以继承系统的BroadcastReceiver组件,一旦接收到短信,就会触发代码,并判断指令所要求木马执行的具体功能。 其中包含:
readmessage 发送邮件命令
sendmessage发送短信命令
test测试命令
makemessage伪造短信命令
sendlink发送连接的命令
当然,这里也做了具体处理,就是判断是否是普通短信和网购信息,如果是网购信息,程序会自动加上一个Flag发送。
至此,这款病毒究竟做了些啥就基本清楚了,所做的操作也是一般短信木马的常有功能,包括截获短信并发送,发送恶意链接进行传播(冒充联系人发送,更有迷惑性),支持接收指令,以及发送恶意伪造的短信给用户。虽然听起来的确很可怕,不过这些都是能够避免的,对于安卓手机来说,根本不存在绝对性的病毒程序,病毒只有借助诱惑类软件或其他恶意软件的帮助才能有进一步危害用户的机会,面对这些病毒,最好的办法还是不要去一些不正规的应用市场下载应用,同时注意安装时认清权限,在不了解软件的情况下,发现软件包含读取系统日志、调用短信等敏感权限信息,那么就不要轻易安装。手机病毒不可怕,可怕的是大家的使用习惯,以及不够了解它。
