安卓再曝史上最严重病毒 手机成情报收集工具
近日，iOS系统开发工具XCode被植入了恶意代码的新闻铺天盖地而来，不少人用户感叹，还好没用苹果。
不过，这次安卓用户也高兴不起来了。近期，一个名为“幽灵推”的手机正在席卷全球，全球200多个国家和地区检出病毒;近3500个品牌1.5万个机型被入侵;每天感染超过60万部安卓手机;病毒还自带ROOT模块，入侵即获得系统最高权限，为所欲为。
网络安全专家表示，该病毒是在安卓上发现的迄今为止影响最严重的手机病毒。
“幽灵推”每日感染超60万台安卓手机
9月18日，一个名为“幽灵推(Ghost Push)”的病毒感染了全球大量安卓手机。单单猎豹移动的统计，每日就有超过60万台手机中毒，预计真实受害用户应更多。受害用户主要集中在美国、印度、中国、墨西哥等，其中中国的云南、广东等省受害严重。
据分析，全球已有3658个手机品牌14846款机型被感染。当用户安装包含恶意代码的工具软件时，病毒自带Root功能，会首先对手机进行Root操作，以获取系统最高权限。即使用户用杀毒软件清除病毒，重启手机之后它还会自动安装，彻底清除病毒难度很大。
“幽灵推”病毒会隐藏在一些流行工具软件中，如“会说话的汤姆猫3”等，当用户安装非正规渠道下载的这些工具后即中毒，病毒会下载安装一系列恶意程序。值得注意的是，“幽灵推”病毒在推送广告的过程中，会首先关掉用户手机的WiFi连接，通过用户的手机流量来获取需要推送的广告内容，在用户不知情、未得到允许的情况下盗用了大量的数据流量。
为了进一步地保证成功地安装下载应用，病毒还会诱导用户开启辅助功能，病毒通过辅助功能，模拟用户点击操作来成功地安装应用。可以适配不同系统市场(GooglePlayer、Lenovo、MIUI等)的安装方式。
谁是幕后黑手?
通过病毒分析发现，大部分文件中包含了一家商业公司的数字签名。通常情况下，数字签名由公司持有，不可伪造。这家商业公司位于深圳，名字是新银河技术有限公司。
该公司的主要业务是开发刷机工具，分发安卓APP，并在一些流行招聘网站上大量招聘安卓工程师，宣称拥有1.4亿用户。从该公司的业务形态上结合幽灵推的“犯案”手法，我们不难发现幽灵推其实就是一个APP推广营销工具。
安卓开发工具也有毒?
据最新消息，目前已经有证据证明一些游戏引擎的下载地址也被感染病毒，例如Unity 和cocos2dx，恶意代码与Xcode中的逻辑一致，并且这些引擎的安卓版也被感染病毒。也就是说，除了iOS，安卓系统甚至是WP用户也都面临着同样的安全问题。
目前，由于网络等原因，大部分开发者都会选择从国内非官方渠道下载开发工具，无论iOS、Android均如此。如果黑客在这些开放工具上植入了恶意代码，那么开发出的APP也就自带毒性了。此次的事件就正是如此。
Unity是一个全面整合的专业游戏引擎，《神庙逃亡》、《纪念碑谷》、《炉石传说》全部是采用Unity进行开发。
这一病毒被跟踪研究的阿里移动安全团队命名为“UnityGhost”，与“XcodeGhost”功能一致，该病毒能定向向受感染App弹出上交房租等任意诈骗信息、推送下载安装App信息、跳转至钓鱼页面(伪造的、欺骗用户输入信用卡号等个人敏感信息的页面)、自动启用App Store，下载企业证书签名的App，安装目标App。
此前，XcodeGhost制造者发表的“只是实验”声明似乎已经无法自圆其说。有消息表示XcodeGhost的制造者有可能还参与了PC端木马TrojanSpy的构建。
手机成终极情报收集工具?
苹果iOS系统开发工具XCode被植入了恶意代码的新闻铺天盖地而来，不少人安卓用户感叹，还好没用苹果。这次安卓用户也高兴不起来了。两大移动操作系统巨头先后陷入泥淖。相比二者连番卷入舆论漩涡的动荡不安而言，这些病毒门、漏洞门中，最终受到实质伤害的依然是普通用户，或个人隐私遭泄漏，或重要信息被贩卖,甚至可能招来不法分子的觊觎。
对此，专业人士认为，智能手机如今已成为黑客的终极情报收集工具。随着低成本工具的出现和网上可提供产品的丰富多样，黑客可以将任何智能手机变成一个复杂的跟踪装置，具备提供实时的情报收集能力，并通过语音通话、短信、电子邮件、环境声音、照片、视频等内容，准确地对手机用户进行定位跟踪。
这意味着，无论你身在何处、正在做什么，时刻有目光躲在暗处窥伺的场景可能不再只是恐怖电影里的桥段，你的一切将暴露在攻击者面前。
此外，还有媒体报道称，智能手机已成为军事情报的主要来源，在反恐行动中尤其如此。例如，在2015年年中，美国披露了一名恐怖分子用手机自拍的一张照片是如何泄露“伊斯兰国”组织总部的方位的，那里很快就遭到轰炸。这种事件在缺乏训练的人员身上更常见，但是就连训练有素的军队也在“手机纪律”方面存在问题。【相关新闻】
本文来源：第一财经日报
责任编辑：NF049
关键词阅读：
不做嘴炮 只管约到
跟贴热词：
文明上网，登录发贴
网友评论仅供其表达个人看法，并不表明网易立场。
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
用微信扫描二维码分享至好友和朋友圈查看:8201|回复：23
助理工程师
一、病毒样本基本信息
母程序名称
母程序包名& && &&&com.example.xxshenqi
母程序MD5值& &&&DBB70AACF76
母程序大小& && &&&2.35 MB (2,465,880 字节)
母程序API版本& & Android 2.2
母程序Level版本&&8
母程序app版本& & 1.0
母程序签名证书& & CN=lilu
子程序名称& && &&&com.android.Trogoogle
子程序包名& && &&&com.android.Trogoogle
子程序MD5& && && && && && &9FD8F22182
子程序大小& && & 1.40 MB (1,477,618 字节)
子程序API版本& &Android 2.2
子程序Level版本&&8
子程序app版本& & 1.0
子程序签名证书& &CN=lilu
二、样本特征及传播方式
恶意母程序捆绑恶意子程序并诱导用户安装运行子包插件。在母程序安装成功后会主动私自静默发送短信到指定手机号码，并通过运行母程序后提示用户需要安装资源包的方式诱导用户安装和启动恶意子包。
子包安装后会主动运行并隐藏程序启动图标，并在后台接收来自指定手机号的短信和静默发送E-mali到指定邮箱。
三、应用安装后所需的危险权限:
[主程序所需敏感权限]
&manifest android:versionCode=&1& android:versionName=&1.0& package=&com.example.xxshenqi&
&&xmlns:android=&/apk/res/android&&
& & &uses-sdk android:minSdkVersion=&8& android:targetSdkVersion=&19& /&
& & &uses-permission android:name=&android.permission.SEND_SMS& /&
& & &uses-permission android:name=&android.permission.ACCESS_NETWORK_STATE& /&
& & &uses-permission android:name=&android.permission.READ_CONTACTS& /&
& & &uses-permission android:name=&android.permission.WRITE_CONTACTS& /&
[子程序所需敏感权限]
&manifest android:versionCode=&1& android:versionName=&1.0& package=&.android.trogoogle&
&&xmlns:android=&/apk/res/android&&
& & &uses-sdk android:minSdkVersion=&8& android:targetSdkVersion=&19& /&
& & &uses-permission android:name=&android.permission.SEND_SMS& /&
& & &uses-permission android:name=&android.permission.RECEIVE_SMS& /&
& & &uses-permission android:name=&android.permission.WRITE_SMS& /&
& & &uses-permission android:name=&android.permission.READ_SMS& /&
& & &uses-permission android:name=&android.permission.INTERNET& /&
& & &uses-permission android:name=&android.permission.RECEIVE_BOOT_COMPLETED& /&
& & &uses-permission android:name=&android.permission.READ_CONTACTS& /&
&uses-permission android:name=&android.permission.WRITE_CONTACTS& /&
静态分析过程一、：
XX神器安装成功后会私自静默遍历手机中的联系人列表
[Java关键部分代码定位]
[Smali关键部分代码定位]
并发送安装成功的短信指令“XXshenqi&&群发链接ok”到指定“186xxxx9904”的手机号码
[Java关键部分代码定位]
[Smali关键部分代码定位]
二、启动程序后会提示用户安装资源包
[程序运行效果图]
[Java关键部分代码定位]
[Smali关键部分代码定位]
当子包安装成功后，主程序会再次私自静默发送子包安装成功的短信“Tro instanll Ok”到指定“186xxxx9904”手机号码
[Java关键部分代码调用]
[Smali关键部分代码调用]
三、子程序安装成功后会自动启动并隐藏程序图标
[Java关键部分代码调用]
[Smali关键部分代码调用]
四、子程序接收来自“186xxxx9904”手机号的短信
[Java关键部分代码调用]
[Smali关键部分代码调用]
五、子程序收到短信后，私自发送短信到指定手机号“186xxxx9904”及指定邮箱“”
[Java关键部分代码调用]
[Smali关键部分代码调用]
程序主要目的是遍历手机通讯录和短信列表，并通过短信以及邮件发送形式发送到指定号码和邮箱中。
执行过程：
1、安装主程序后，主程序首先遍历手机通讯录和短信列表，并发送安装成功的短信到指定号码；
2、释放子程序诱导用户安装；
3、子程序安装成功后，主程序会再次发送子程序安装成功的短信到指定号码；
4、子程序接收从指定号码发送的短信指令，子程序并通过短信和邮件的方式将手机中的短信和联系人发送到指定号码以及邮件中；
本帖最后由 redhat9i 于
08:35 编辑
论坛首席记者
非常详细，要是再有处理方式就好了
菜刀在手，问天下谁是英雄
除了安装手机杀毒软件，也没别的好办法了
除此外，就是使用手机者必须严格只使用官方软件，别好奇点这个，点那个的。
家用小路由器的WAN口是固化NAT转换的，单向，只向上转，无法将WAN口来的访问转向LAN口下面。不支持WAN口前面的任何静态路由跳转。
建议拿胶布封闭小路由器WAN口，网线改插小路由器LAN口，关闭小路由器的DHCP服务，当交换机用。坚决使用WAN口的话，就只能那样了。
关于DMZ打印机，请看这里“”6楼看看。
高级工程师
作者已经被抓，大一19岁，在病毒里留联系方式，太年轻啊。
XX神器，一看就让人知道是干什么的了，病毒这种东西杀毒什么的都是出了问题的补救，最重要还是自己注意使用习惯··
论坛首席记者
引用:原帖由 silenthk 于
11:11 发表
作者已经被抓，大一19岁，在病毒里留联系方式，太年轻啊。 这才能跟当年的李俊有一比啊
菜刀在手，问天下谁是英雄
XXshenqi代码本身没什么特点，能传播起来主要是基于“人性信任”的机制：当你收到来自朋友的短信，让你点击短信链接安装app，安全意识弱的人出于信任就会去点击安装。蠕虫遍历手机通讯录，批量给你朋友发出一样的短信，就这样大规模传播开了。
至于媒体把这东西称之为“超级手机病毒”，请原谅我读书少，你们别骗我
本帖最后由 不使惹尘埃 于
13:37 编辑
论坛首席记者
引用:原帖由 不使惹尘埃 于
13:34 发表
XXshenqi代码本身没什么特点，能传播起来主要是基于“人性信任”的机制：当你收到来自朋友的短信，让你点击短信链接安装app，安全意识弱的人出于信任就会去点击安装。蠕虫遍历手机通讯录，批量给你朋友发出一样的短信，就这样大 ... 好久不见
菜刀在手，问天下谁是英雄
初级工程师
感觉图标哪里就不对
千万不要按ctrl+w
如果你还是按了................
引用:原帖由 redhat9i 于
21:27 发表
好久不见 未曾离开
只不过一直在潜水
助理工程师
应用起这名字 男同志上钩的较多...
版主，并不是一种荣耀，而是一种坚持 ...
感谢分享！
版主，并不是一种荣耀，而是一种坚持和责任！
可惜了，老实做个技术员不更好吗？
初级工程师
安卓还是太开放了，
随便装一个软件&&都要求&&读电话本，打电话，读短信，发短信,,,,,,,, 的权限
初级工程师
感谢拥有你感谢有你。！
初级工程师
好想有人传给我&&看看我的手机会不会中招
表示这是个初学者的病毒，居然明目张胆放中文代码，
初级工程师
引用:原帖由 redhat9i 于
12:24 发表
这才能跟当年的李俊有一比啊 哈哈，不过病毒的扩散没熊猫烧香牛逼对1.5万款机型有效 史上最强安卓病毒爆发|安卓|手机|病毒_手机_新浪科技_新浪网
对1.5万款机型有效 史上最强安卓病毒爆发
　　在多年以前，病毒(程序)还只属于桌面版系统，而现在它已经开始渗透到了我们每一个人的智能手机当中。近日，一种名为“幽灵推”的安卓病毒开始席卷智能手机，并且造成了非常严重的影响。不同于以往手机病毒的是，“幽灵推”能够获得手机的最高控制权限(俗称root)，使杀毒软件对其失效，因而被称之为迄今为止最为强悍的安卓手机病毒。(文中配图来自网络)
　　近日，央视报道了一种名为“幽灵推”的安卓手机病毒，“幽灵推”病毒会隐藏在一些流行工具软件中，如会说话的汤姆猫等，当用户安装非正规渠道下载的这些工具后便会中毒，病毒会下载安装一系列恶意程序，进而侵犯用户的个人利益或造成其他影响。
　　网络安全工程师刘文柱表示：“幽灵推”会帮你不断的下载它推广的应用，这个过程中假如说你使用WiFi，它会把你WiFi网络关掉，使用你的3G/4G网络直接消耗你的资费。”
　　“幽灵推”病毒的传播方式和危害与此前发现的众多手机病毒并无区别，不同的是这款病毒有很高的技术含量，它可以直接安装在手机系统里，取得最高权限，这导致杀毒软件根本无法删除它，因为杀毒软件无权更改删除系统文件。
　　网络安全工 程师李铁军表示：“这是我们在安卓上发现的迄今为止影响最严重的手机病毒。 第一它是一款安装之后直接ROOT你的手机的病毒，技术含量非常高，第二它感染量非常高，感染遍布全球各个国家都有，第三 它影响面超级广 ROOT功能已经实现了对3000多个手机品牌和1.5万款(机型)ROOT这是非常强的。”
　　网络安全工程师提醒用户，手机如果中了该 病毒，可以选择专业的针对该病毒的杀毒工具进行查杀，另外用户下载软件时一定要在正规的网站下载，不要选择在论坛或非法网站。说到这一点需要提醒大家的 是，目前由于Google服务在国内的缺失，普通用户无法从Google Play上下载经过审核的软件，需要借助国内软件厂商推出的软件市场才能下载软件以及游戏；因此，大家在下载手机软件时，自带应用市场的应用可信度还是很 高的，即使是自带应用市场内的程序出了问题，也可以找厂家进行三包。
　　扫一扫，每日推送最潮最酷数码资讯。扫描下方二维码关注新浪数码官方微信(也可微信中搜：sinadigi或新浪数码)。
文章关键词：
&&|&&&&|&&&&|&&
您可通过新浪首页顶部 “”， 查看所有收藏过的文章。
，推荐效果更好！
看过本文的人还看过&&|&&责编：刘菲菲
    相信大家对安卓的不安全早有耳闻。据最新数据显示，目前市面上95%以上的恶意程序都针对安卓平台。从2011年到2012年，安卓恶意数量较之前增长了八倍多，而2013年依旧是安卓恶意软件呈现爆炸性增长的一年。更悲催的是，即便正常的在用户隐私问题上也很不讲究，目前有66.9%的App有越界抓取用户隐私的行为。通话记录、短信记录、通讯录成了安卓用户隐私泄露的三大高危地带。    安卓用户该怎么办？怎样才能实现手机安全？今天，笔者就给各位支支招！木马病毒窃取隐私？给安卓用户支支招恶意软件有哪些威胁？    去年12月，安全公司Lookout在其2013年移动设备安全威胁预测报告中预测，至明年年底全球范围内将有1840万Android用户感染木马。    按安卓设备每日激活130万台的速度，2013年底全球范围内约有10.7亿安卓设备。明年受感染安卓设备大约占总数的1.72%。这些被木马感染的设备都存在个人信息被盗、暗扣流量、话费流失、隐私外传等严重问题。    此外，即便是正常软件也不是个个都有节操。据介绍，53.1%的移动应用具备读取位置信息这一项权限，其次是访问联系人（21.2%）、读取通话记录（18.1%）、 拨打电话（14.7%）、发送短信（14.7%）、读取短信记录（11.9%）、获取本机号码（8.1%）、收集用户使用行为（4.2%）等。安卓系统的安全性一直饱受诟病   此外，有高达34.5%的移动应用有“隐私越轨”行为——在与本身功能毫不相干的情况下，获取智能手机用户的短信记录、通话记录、通讯录等敏感个人信息；这些抓取行为并非相关移动Apps为用户提供的应用服务功能所必需，而大多数普通用户并不知情。    此外，具有读取通话记录行为的移动应用当中，高达73.1%为越界抓取；具备读取短信记录功能的移动应用当中61.1%的短信记录获取为越界抓取，访问通讯录联系人的这一隐私越轨比例为38%，获取本机号码的越轨比例则高达60.5%。    那么，这些不让人省心的软件都从来的呢？
提示：支持键盘“← →”键翻页
更新时间：日
用户评分：7.1 | 16人点评
下载次数：1,251,168
软件类型：免费软件
软件语言：简体中文
4334956996145071260839009160010648&>&&>&正文
央视报道安卓手机出现迄今最严重病毒 你的流量正在遭遇危机
14:47:50 来源：央视 作者：未知 编辑：TOMO　浏览：loading
　　近日的手机安全问题再次成了社会关注的焦点，无论是苹果还是安卓系统都有中招，CCTV报道了一条新闻，安卓系统的手机用户要注意了。
CCTV报道：
　　“幽灵推”病毒会隐藏在一些流行工具软件中，如会说话的汤姆猫等，当用户安装非正规渠道下载的这些工具后即中毒，病毒会下载安装一系列恶意程序。
　　网络安全工程师 刘文柱：它会帮你不断的下载它推广的应用，这个过程中假如说你使用WiFi，它会把你WiFi网络关掉，使用你的3G 4G网络直接消耗你的资费。
　　“幽灵推”病毒的传播方式和危害与此前发现的众多手机病毒并无区别，不同的是这款病毒有很高的技术含量，它可以直接安装在手机系统里，取得最高权限，这导致杀毒软件根本无法删除它，因为杀毒软件无权更改删除系统文件。
　　网络安全工程师 李铁军：这是我们在安卓上发现的迄今为止影响最严重的手机病毒。 第一它是一款安装之后直接ROOT你的手机的病毒，技术含量非常高，第二它感染量非常高，感染遍布全球各个国家都有，第三 它影响面超级广 ROOT功能已经实现了对3000多个手机品牌和1.5万款(机型)ROOT这是非常强的。
　　网络安全工程师提醒用户，手机如果中了该病毒，可以选择专业的针对该病毒的杀毒工具进行查杀，另外用户下载软件时一定要在正规的网站下载，不要选择在论坛或非法网站。
相关新闻：
综合热点资讯
单机游戏下载
| 最后的防线
游民星空联运游戏