關于安卓平臺竊取用戶短信和通訊錄的惡意程序處置的情況通報 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
來源:聚銘網(wǎng)絡 發(fā)布時間:2016-01-04 瀏覽次數(shù): | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
2015年,國家互聯(lián)網(wǎng)應急中心(以下簡稱“CNCERT”)通過自主監(jiān)測方式,及騰訊公司、安天公司等中國反網(wǎng)絡病毒聯(lián)盟成員單位共享方式,累計發(fā)現(xiàn)一系列具有竊取用戶短信和通訊錄的安卓平臺惡意程序716款。該系列惡意程序私自讀取用戶的短信、通訊錄信息,并通過郵件發(fā)送到黑客指定的惡意郵箱。CNCERT第一時間對該系列惡意程序所使用的郵箱等進行處置,有效控制了惡意程序的影響范圍。現(xiàn)將具體情況通報如下: 一、惡意程序機理分析情況 該系列惡意程序通過偽裝成“相片”、“資料”、“違章查詢”、“成績單”等正常應用程序(偽裝應用的名稱見附表一),通過偽基站或者手機肉雞以短信方式進行傳播,短信內(nèi)容都帶有惡意程序的下載地址,如: “XXX,老同學好久沒聯(lián)系了。我上傳了些相片在微盤,有空的時候下載保存到手機打開激活就看看 http://X.cn/XXXXXX” “XXX,我發(fā)了一條圖片彩信給你,點擊鏈接收取http://X.cn/XXXXXX” 該系列惡意程序都具有如下惡意行為: 1)私自讀取用戶的短信、通訊錄信息,并通過郵件發(fā)送到指定郵箱,泄露用戶隱私; 2)后臺私自向指定號碼發(fā)送短信,消耗用戶資費; 3)私自攔截、屏蔽、刪除短信,并根據(jù)短信指令執(zhí)行相應的操作,進行遠程控制; 4)啟動后會隱藏自身圖標,誘騙用戶激活設備管理器以保護自身不被卸載。 二、影響范圍 CNCERT對該惡意程序的控制郵箱進行取證分析,涉及網(wǎng)易郵箱、新浪郵箱和中國移動139郵箱等293個惡意郵箱賬戶,累計接收包含短信和通訊錄等用戶信息的郵件662498封。 三、處置措施 CNCERT分析確認該惡意程序的影響范圍后,立即啟動針對該惡意程序的處置工作。協(xié)調(diào)網(wǎng)易公司、新浪公司及中國移動公司對惡意程序所用于接收用戶信息的293個惡意郵箱賬戶進行關停處理,切斷了黑客竊取用戶信息的途徑,惡意郵箱賬號信息詳見附表二。 CNCERT 將繼續(xù)跟蹤事件后續(xù)情況,做好國內(nèi)用戶受影響情況的監(jiān)測和預警工作。同時,請國內(nèi)相關單位做好信息系統(tǒng)應用情況排查工作,如需技術支援,請聯(lián)系 CNCERT。電子郵箱: cncert@cert.org.cn,聯(lián)系電話: 010-82990999。 附表一:偽裝應用名稱列表
附表二:黑客控制郵箱賬號信息
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||