警惕”手机预装木马”窃取隐私

By | 2014年2月24日

CNCERT近期通报了一起“手机预装马”的典型案例,随后AVL移动安全团队对其涉及样本进行进一步分析,发掘出一类具有窃取用户隐私行为的ROM内置应用,并且和早期发现的相关样本家族关联到国内某知名手机预装服务商,极大的威胁到用户隐私信息的安全性。

样本分析

该类木马主要以手机应用预装的方式植入到用户手机,并且伪装成系统应用。收集用户隐私信息并上传至http://postlog.cui9.com/?p=xincaiji3

86061FE5-DF7F-4476-B98D-997AC0E91180

木马不仅会采集例如IMEI、IMSI、MAC地址等手机固件信息,还会偷偷获取用户手机联系人,短信发件箱、收件箱短信内容:

并且还会扫描/sdcard下QQ相关目录,获取用户QQ缓存的头像、联系人列表:

背景调查

AVL移动安全团队早在2013年12月就发现另一类窃取隐私木马家族会将用户信息上传至http://www.dingkailianhe.com/rec.aspx相关域名。

dingkailianhe.com、cui9.com域名由北京某知名手机预装联盟所属,其专门提供高端手机预装服务。

DEE4C2CA-12CF-45ED-BDBF-7A96B30CF28A

域名dingkaihulian.com由某知名应用推广公司注册,其提供ROM内置推广、预装推广等服务,其合作厂商包含了国内多家知名的互联网企业。

小结

该类“预装木马”以窃取用户隐私信息为目的,不仅有用户手机的固件信息,还包含了用户手机联系人、短信内容甚至QQ号码等重要信息。从首次样本捕获时间至今将近有一年时间,期间会有大量的用户手机被感染。

对于国内知名的手机预装服务商应该对预装应用进行严格的审查,避免成为恶意应用的免费推手。

用户可以下载安装AVL移动安全团队AVL Pro对该类木马进行查杀。

2 thoughts on “警惕”手机预装木马”窃取隐私

发表评论

电子邮件地址不会被公开。 必填项已用*标注