复杂的木马攻击Android设备

注意移动安全据报道，一种针对安卓设备的恶意软件正在中国出现。该公司将这种名为“Geinimi”的新型木马称为“迄今为止我们所见过的最复杂的Android恶意软件”，也是首个显示出“类似僵尸网络功能”的Android恶意软件。根据Lookout的一篇博文在美国，Geinimi被“移植”到真正的Android应用程序(通常是游戏)的重新包装版本上，并通过中国的第三方在线市场发行。修改后的应用程序需要“比原始应用程序更广泛的权限”。Lookout称，Geinimi可以访问大量的个人数据，并将其发送到远程服务器。它也有可能接受来自远程服务器的命令，允许服务器的所有者控制手机，包括创建一个Android僵尸网络。据该博客报道，Lookout已经为其移动安全软件的Android现有用户(包括付费和免费版本)开发了一个软件更新。恶意软件的制造者为了隐瞒所发生的事已经做了很多。“除了使用现成的字节码混淆器，大量的命令和控制数据都是加密的，”Lookout报告说。“虽然这些技术很容易识别，无法阻止分析，但它们确实大大增加了分析恶意软件所需的工作量。”Lookout称，迄今为止，“Geinimi”只出现在第三方中国应用商店中重新包装的应用程序中。要下载这些应用，Android用户必须启用从“未知来源”安装应用。到目前为止，Lookout在官方Android市场网站上还没有发现任何被黑客入侵的应用程序。中国网站上被篡改的应用包括:《猴子跳2》、《性爱姿势》、《总统vs外星人》、《城市防御》和《棒球超级明星2010》。 “[T]he original versions available in the official Google Android Market have not been affected,” according to Lookout.When the host application with the Geinimi Trojan is launched on the smartphone, the malware collects location coordinates and unique identifies fro the device and its SIM card. Every five minutes, according to Lookout, the malware tries to connect to a remote server, using one of 10 embedded domain names, among them: www.widifu.com, www.udaore.com, and www.frijd.com.Once it has that remote connection, the malware uses it to send the information it has collected. So far, Lookout hasn’t seen a “fully operational control server sending commands back” to Geinimi. But Lookout’s analysis has identified the following activities: sending location coordinates or device identifiers, downloading an app and prompting the user to install it, prompting the user to un-install an app, and create a list of the phone’s installed apps and send it to the remote server. In addition, the user still needs to confirm the installation or uninstallation, according to Lookout.