四、Android(安卓)平台木马分析

　　自谷歌在2007年底发布手机操作系统Android以来，得到了全球众多手机厂商的全力支持，Android系统一路攻城略地。三年的时间里，Android势头早已超越微软Windows Mobile、Symbian、RIM，甚至有压过苹果的风头。但由于Android平台开源、开放、免费的特性，使得其相对封闭的Symbian平台而言安全性问题更加严峻。由于几乎没有入驻门槛，木马制作者可以通过篡改正常软件的方式，随意将捆绑了木马的软件应用在Android平台发布。

　　根据360手机云安全中心的统计数据显示，2011年上半年共发现了968个木马程序和恶意软件，出现了“超级大盗”、“白卡吸费魔”、“安卓僵尸”、“X卧底”等一系列木马病毒。该平台木马主要通过伪装成电子书、游戏等正常软件或捆绑恶意子包，骗取用户下载。

　　从今年5月起，360手机安全中心发现，Android木马传播者开始直接在水货新机里野蛮地嵌入系统固件木马，普通用户根本无法删除。木马安装后，会出现自动侦测手机环境、选择锁屏或深夜私自发送短信定制SP业务等，偷偷消耗用户话费。以下是Android平台木马传播的具体数据：

　　1、 截至6月30日，Android平台总木马数量(含木马和恶意软件)：980个;

　　2、 2011年上半年Android平台感染手机用户总数：118万人次;

　　3、 2011年上半年Android平台新增木马(含木马和恶意软件)：968个;

　　4、 Android平台木马危害类型：主要以恶意扣费为主

　　5、Android平台木马传播途径：主要通过Wap/Web下载方式传播

　　五、2011年上半年国内手机木马的主要传播途径

　　据360手机云安全中心统计数据显示，今年上半年，手机木马的最主要传播途径为手机Wap/Web下载，在木马的所有传播途径中占到了53%。其余主要传播途径依次为短信/彩信的链接传播、手机论坛、手机下载站、应用商店/市场以及其他水货白卡机等预装渠道。

　　六、2011年上半年国内五大“最恶”手机木马

　　1、木马名称：系统终结者.3.GXWY(Symbian平台)

　　上榜理由：新年期间疯狂传播的一款破坏性木马，以匿名push信息向用户进行暴力群发传播，短信冒充诺基亚官方口吻通知用户有严重系统漏洞需要升级，并附上木马链接，诱骗用户下载木马，该木马安装后无法删除，进程长时间驻留后台，造成系统运行缓慢，并定时联网消耗流量。木马制作者使用的签名证书为：Beijing Gongxingweiye Technology Co.,Ltd。

　　2、木马名称：“超级大盗”系列木马持续更新(Android平台)

　　上榜理由：“超级大盗”系列木马包含近百款新木马，作恶行为完全一致，都是伪装成正常软件后，被散布到各个手机论坛和下载站，欺骗用户下载。一旦用户中招，木马将在后台偷偷发送SP业务定制短信，定制成功后将自动删除发送记录，达到恶意扣费的目的。该系列木马与有些“一次性”木马不同，它含有一个插件子包，负责实时回传服务器的最新扣费指令，起到长期吸费的效果。

　　3、木马名称：“勾魂美女”系列木马(Android平台)

　　上榜理由：“勾魂美女”系列木马专门针对国内用户，伪装成正常软件，如“勾魂美女”、“爱情卫士”、“绿色家园”等等，诱骗网友下载。木马作者身披马甲账号，亲自将该木马发布到国内各个手机论坛。

　　由于该木马作者深知Android用户很多都有看权限的习惯，所以木马包本身并没有什么敏感权限，但将APK解包后会发现其隐藏了一个名为testnew.apk的木马子包，具有安装/卸载、发送短信、读取用户信息等多种高敏感权限。

　　该系列木马有如下危害：

　　a、木马伪装成正常软件，安装后自动在后台安装木马子包;

　　b、私自使用谷歌高权限公有证书，能够在不提示用户的情况下安装木马子包并非法获取系统root权限;

　　c、木马子包进入系统后私自向106开头的SP号码发送多条增值业务订购短信，大量吸费，并自动删除发送记录;

　　d、非法获取系统root权限，使手机沦为黑客的肉鸡。

　　4、木马名称：“X卧底”系列木马(Android平台和Symbian平台)

　　上榜理由：在6月初闹的沸沸扬扬的“X卧底”是一款窃听软件，本质上属于黑客间谍软件。“X卧底”安装后不会启动任何图标，也不会给用户任何提示，一切监听行为都在后台自动完成，用户根本无法感知。该软件通过以下方式窃取隐私：

　　a、当通话时，木马会自动监听用户手机通话并自动录音保存，同时读取用户的通话记录，短信等内容。

　　b、通话完毕后，木马启动上传程序，将通话录音等用户隐私信息联网上传至不法分子搭建的服务器。

　　c、除偷窃隐私外，Android的间谍木马还包含隐蔽的吸费代码，会在后台私自发送扣费短信，并自动删除发送记录和运营商回执短信。

　　5、木马名称：水货固件里的 “白卡吸费魔”木马 (Android平台)

　　上榜理由：随着Android水货手机的日益走俏，不法分子也从中嗅到了商业利益，正将目光慢慢转移到水货手机上。2011年6月，360安全中心接到了部分用户反馈，新买的Android手机没用几天就少了几十块的话费，在安装安全软件后，该软件过一段就会自动消失。

　　针对用户出现的问题，360安全专家进行分析后得知，这些用户的手机全部为近期购买的新手机，且全部为不法商家用测试SIM卡刷入带木马ROM 的“白卡机”，其内置了一组恶性木马，分工合作，分别负责卸载安全软件、盗取用户隐私以及疯狂恶意扣费，我们将其命名为“白卡吸费魔”。

　　“白卡吸费魔”系列木马的主要危害如下：

　　a、使用特殊方式刷入手机，用户无法删除，长期驻留后台消耗内存;

　　b、利用系统漏洞非法获取root权限，使手机沦为肉鸡;

　　c、恶意删除用户手机中的安全软件;

　　d、回传手机中包括SIM卡信息，网络信息，电话号码在内的多种隐私信息;

　　e、后台私自发送大量SP吸费短信并删除发送记录，造成用户高额话费损失;

　　f、私自在后台频繁联网回传用户隐私以及接受服务器指令，消耗大量网络流量。