多个知名应用市场存在欺诈木马SMSfraud.a

By | 2014年5月19日

AVL移动安全团队最近对正在流行的欺诈木马smsfraud.a进行来源分析,从2013年2月至今,总共捕获smsfraud.a木马样本400余个,其中29.9%拥有下载链接,且皆为国内知名应用市场,尤其大部分链接来自同一个市场,该市场在之前就曾被检测出包含大量木马,参考AVL移动安全团队《某知名应用市场“惊现”大量木马应用》一文。

Trojan/Android.SMSfraud.a木马介绍

该木马运行后,会在后台窃取用户手机及sim卡下所有联系人信息,并向其发送欺诈短信,给用户带来资费消耗的同时,还有可能给您的亲友造成一定的经济损失。

其发送的欺诈短信通常包含以下内容:”惭愧,在K-T-V-后被拉到公-安-局,要交罚金伍仟,我表哥彭湖已到这里,借我壹仟元左右,这种丢脸事,不要告诉别人,谢谢!”,”招- 商-银-行,彭湖,6214-8302-0122-4911,在-公-安-局不方便接电话.转账后发短信告诉,下周还你.”等。

相关统计

从2013年2月截至到目前为止,共发现Trojan/Android.SMSfraud.a恶意样本400余个,按月统计的新样本情况如下:

359

该木马拥有100多个程序名,从程序名的总数和数量分布来看,该恶意代码属于捆绑在一些流行的正常应用中,提高自己被下载传播的概率:

通过渠道查找传播情况,有下载链接的样本120余个,占总样本29.9%,绝大部分网址目前还可以下载到样本,多个国内知名市场均有传播,其中66.3%的链接来自同一个市场。

尤其该市场之前也被发现存在大量木马应用,AVL移动安全团队在先前的《某知名应用市场“惊现”大量木马应用》一文中就曾对此市场进行过播报。

下图为该市场一款名为“WiFi管理器”的下载页面,即上图中标记的样本之一,可见下载量已有7814次:

360

安装后AVL Pro检测出恶意软件:

362

小结

从统计数据来看,该木马至今仍活跃在各应用市场,且通过捆绑在不同正常应用中进行传播,更关键的是国内多个知名应用市场都存在此欺诈木马,尤其上述市场存在大量木马应用,极大的威胁了用户手机安全。

AVL移动安全团队建议相关应用市场也应该加强对上架应用的检测,并尽快下架捆绑有恶意木马的应用,避免沦为恶意代码的免费推手。

用户可以下载AVL移动安全团队AVL Pro对上述恶意应用进行查杀。

发表评论

电子邮件地址不会被公开。 必填项已用*标注