360手机安全中心日前研究发现,国内首个利用JavaScript脚本远控的手机“灰鸽子”木马。该木马会截取、偷发手机短信,并存在后台下载、安装其他应用的恶意行为。该木马侵入手机后不会出现图标,通过加密的本地JS代码方式作恶,隐蔽难发现。360手机安全专家指出,该木马被内置在手机ROM中,建议手机用户通过正规渠道购买手机、同时谨慎刷机,目前,360手机卫士已可查杀该木马,并可在木马偷发短信时进行拦截。
图:360手机卫士查杀灰鸽子木马,拦截其偷发短信
360手机安全中心日前接到新浪微博反馈,称新浪客服接到大量用户投诉,微博用户称手机莫名其妙接收到来自1069009088发送的短信,提示密码修改或注册微博。新浪微博运营人员发现,投诉的用户均使用安卓手机,每天单个号码还向1069009088疯狂发送10到200条短信,发送的短信内容全部为“a123123”,造成话费损失。新浪微博为此紧急关闭此短信通道,避免用户蒙受损失。
360手机安全专家对此展开调查,发现微博用户的手机ROM被内置了隐蔽性极强的“灰鸽子”手机木马。“该木马利用了WebView组件的addJavascriptInterface函数关联了本地java代码和JavaScript代码,服务器通过下发含有特定的JavaScript脚本的html,本地打开html,实现多种恶意行为。” 360手机安全专家指出,该木马没有图标,通过JS远程控制的方式作恶,这种方法更加隐蔽,普通用户和一般杀毒软件很难发现。
360手机安全专家解密加密过的JavaScirpt代码后发现,灰鸽子木马通过JAVA层发送短信,发送“a123123”到“1069009088”,并且设置“1069009”为拦截号码,“新浪”为拦截短信的关键字,“凡是1069009发送,内容包含‘新浪’的短信都将被木马拦截,并上传至黑客指定的服务器”,360手机安全专家表示。上传的内容还包括包含“开通”字段的短信、IMSI、手机型号及操作系统版本等隐私信息。
研究还发现,该木马并非只有上述恶意行为,控制拦截、偷发短信内容的恶意代码可被任意修改,黑客通过服务器还可以下发其他恶意行为的JS文件,有偷偷下载安装其他应用的能力。
灰鸽子木马早被植入在手机ROM中,360手机安全专家因此建议,要通过正规渠道购买手机,同时谨慎刷机。尤其刷机后要第一时间安装360手机卫士,对木马偷发短信的行为拦截,同时对手机进行全盘查杀。
|