过去已经见过许多会在受感染设备上监控发自特定号码短信的Android恶意软件，这种做法通常是为了拦截从服务号码发来的短信，以防止用户怀疑自己的设备已经被感染。但是趋势科技最近看到的一个Android恶意软件采用了不同的方式，它会监控受感染设备所收到短信内的关键字。

上述恶意软件是一款被木马化的游戏，叫作金币海盗。根据趋势科技的研究，这款软件已经出现在一个中国的手机应用市场。在我们最后一次检测时，这个木马化的版本已被下架。

http://s6/middle/59acc8e2gab64df047795&690

和大多数Android恶意软件一样，这个被趋势科技确定为ANDROIDOS_PIRATES.A的木马化程序会要求用户提供比正常版本还要多的权限，也会做比原本版本更多的事情。

http://s9/middle/59acc8e2gab64f1487d48&690

安装

在ANDROIDOS_PIRATES.A的安装过程中，会注册三个接收器：BootReceiver、AlarmReceiver和SMSReceiver。BootReceiver和AlarmReceiver负责启动服务 – “MonitorService”，该服务负责让恶意软件与恶意服务器进行通讯。另一方面，SMSReceiver在受感染设备每次接收短信时都会自动执行。

http://s6/middle/59acc8e2g778a16ba7d25&690

资料窃取

一旦安装了接收器，ANDROIDOS_PIRATES.A会从受感染设备得到下列信息，并将它们传送到恶意服务器：

l  设备型号

l  SDK版本

l  IMEI号码

l  IMSI号码

因为无法直接到服务器上检查，所以我们直接分析了恶意软件的程序代码。

代码显示，如果服务器回复受感染设备字符串 – “sendsms”，那么ANDROIDOS_PIRATES.A就会发送含有手机IMEI号码和设备型号的短信到下列号码：

l 13521419442

l  13552040604

l  13661258744

l  13521273944

l  13552040894

l  13520931794

l  13520234741

l  13520234194

请注意，上述这些号码并不属于服务号码，通过在网上搜索发现，这些号码可能也曾经被其他旧的恶意软件所利用。

短信监控

此外，这个恶意软件会连到服务器去下载数据，并储存在所安装的中毒手机上的资料库内。这个资料库包含了一个表格 – “blogconfig”，它有4个栏：BlogType、KeyWords、Charging和IsConfirm。

http://s16/middle/59acc8e2gab64f41fad2f&690

KeyWords栏用来储存恶意软件所要监控的字符串，每当中毒手机通过SMSReceiver收到短信后，如果字符串符合，恶意软件就会根据IsConfirm栏里的值来决定要删除短信还是上传到服务器去。

这是一个新的手法。正如前面所提到的，旧的针对Android短信的恶意软件利用号码来过滤特定短信。而这种恶意软件会检查短信内的关键字，所以也更加具有针对性。另外，恶意软件作者也可以更新KeyWords栏里的关键字。

这个恶意软件的其它功能包括发送短信到一个特定号码，以及添加书签到中毒设备的浏览器上，而具体的短信内容和书签URL都取决于服务器的回应。

用户可以到下列位置检查自己是否受到感染：设置 > 应用程序 > 正在运行的服务，然后检查是否存在MonitorService。受感染的用户也可以利用下列步骤手工删除这个恶意软件：设置 > 应用程序 > 管理应用程序，然后删除这个恶意应用程序。

如果想要了解更多如何保护Android设备不被恶意软件影响的信息，请参考我们的文章 – “五个简易步骤确保Android智能手机安全”。

趋势科技技术顾问简胜财强烈建议：“用户在安装任何应用程序时都应谨慎小心，请仔细阅读程序说明，确定此程序要求用户授与的权限是否合理。”用户可以通过下列步骤检查自己的手机是否已经遭到此恶意程序的感染：点击智能型手机的“设置”，选取“应用程序”中的“正在运行的服务”，若发现有名为“MonitorService”的文件存在，则手机已经遭受感染。用户也可以手工删除此恶意程序：选取“设置”→“应用程序”→“管理应用程序”，然后删除此程序。

有鉴于使用Android平台的智能型手机快速普及、针对性的恶意程序层出不穷，趋势科技特别提供保护 Android 智能型手机的五个简单步骤供使用者自保：

1. 确保使用Android平台提供的基本手机防护功能：设定PIN码或是开机密码等可以让手机与信息受到基本保护。

2. 尽量避免使用Wi-Fi自动连接功能：连接开放性的网络，如公用Wi-Fi，看似相当便利，但此类网络的开放特质如同双面刃，会让用户手机中的资料暴露在轻易被有心人士窃取的风险中。

3. 在下载来自第三方应用程序商店的APP前请审慎考虑。

4. 当有程序或网页请求授权时，请详细阅读其请求授权的内容。

5. 安装有良好声誉且有效的智能型手机防毒软件：如趋势科技推出的TMMS 7.0，可有效阻挡恶意程序入侵手机平台，保护Android 装置免受恶意程序威胁。

＠原文出处：Trojanized Android App Checks for Keywords in SMS Messages

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！