關(guān)于安卓平臺竊取用戶短信和通訊錄的惡意程序處置的情況通報 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2016-01-04 瀏覽次數(shù): | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
信息來源:國家互聯(lián)網(wǎng)應(yīng)急中心 2015年,國家互聯(lián)網(wǎng)應(yīng)急中心(以下簡稱“CNCERT”)通過自主監(jiān)測方式,及騰訊公司、安天公司等中國反網(wǎng)絡(luò)病毒聯(lián)盟成員單位共享方式,累計發(fā)現(xiàn)一系列具有竊取用戶短信和通訊錄的安卓平臺惡意程序716款。該系列惡意程序私自讀取用戶的短信、通訊錄信息,并通過郵件發(fā)送到黑客指定的惡意郵箱。CNCERT第一時間對該系列惡意程序所使用的郵箱等進行處置,有效控制了惡意程序的影響范圍?,F(xiàn)將具體情況通報如下: 一、惡意程序機理分析情況 該系列惡意程序通過偽裝成“相片”、“資料”、“違章查詢”、“成績單”等正常應(yīng)用程序(偽裝應(yīng)用的名稱見附表一),通過偽基站或者手機肉雞以短信方式進行傳播,短信內(nèi)容都帶有惡意程序的下載地址,如: “XXX,老同學好久沒聯(lián)系了。我上傳了些相片在微盤,有空的時候下載保存到手機打開激活就看看 http://X.cn/XXXXXX” “XXX,我發(fā)了一條圖片彩信給你,點擊鏈接收取http://X.cn/XXXXXX” 該系列惡意程序都具有如下惡意行為: 1)私自讀取用戶的短信、通訊錄信息,并通過郵件發(fā)送到指定郵箱,泄露用戶隱私; 2)后臺私自向指定號碼發(fā)送短信,消耗用戶資費; 3)私自攔截、屏蔽、刪除短信,并根據(jù)短信指令執(zhí)行相應(yīng)的操作,進行遠程控制; 4)啟動后會隱藏自身圖標,誘騙用戶激活設(shè)備管理器以保護自身不被卸載。 二、影響范圍 CNCERT對該惡意程序的控制郵箱進行取證分析,涉及網(wǎng)易郵箱、新浪郵箱和中國移動139郵箱等293個惡意郵箱賬戶,累計接收包含短信和通訊錄等用戶信息的郵件662498封。 三、處置措施 CNCERT分析確認該惡意程序的影響范圍后,立即啟動針對該惡意程序的處置工作。協(xié)調(diào)網(wǎng)易公司、新浪公司及中國移動公司對惡意程序所用于接收用戶信息的293個惡意郵箱賬戶進行關(guān)停處理,切斷了黑客竊取用戶信息的途徑,惡意郵箱賬號信息詳見附表二。 CNCERT 將繼續(xù)跟蹤事件后續(xù)情況,做好國內(nèi)用戶受影響情況的監(jiān)測和預警工作。同時,請國內(nèi)相關(guān)單位做好信息系統(tǒng)應(yīng)用情況排查工作,如需技術(shù)支援,請聯(lián)系 CNCERT。電子郵箱: cncert@cert.org.cn,聯(lián)系電話: 010-82990999。 附表一:偽裝應(yīng)用名稱列表
附表二:黑客控制郵箱賬號信息
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||