AVG中国实验室发现一批安卓平台Java游戏暗藏病毒,作者批量发布于国内安卓各论坛,游戏采用J2ME MIDlet制作,主打怀旧风,总数达十余个,看来病毒作者是个不折不扣的“游戏王”,此病毒自身属于自释放型病毒,资源中暗藏了一些ELF与APK文件,作为其Payload,其中植入了名为”exploid”的Root利用程序,此程序利用Linux内核漏洞帮助其获得用户手机Root权限,Root成功后,将复制部分Payload文件至系统目录,深植于安卓系统内核,难以清除。程序将与C&C服务器通信接收指令,且病毒中还包含短信模块,可以通过C&C服务器获取并发送信息,造成用户扣费。
[部分APK文件]
[用于自释放的资源]
[部分应用图标]
[部分应用主界面]
[Manifest文件]
从上图Manifest文件可以看出,该程序建立了两个服务,PlayerBindService与GameUpdateService通过分析,发现恶意代码存在于GameUpdateService,程序启动后,会启动此服务。
我们还惊奇的发现,文件存在有效的签名,制造者为国内:
Payload执行后还访问了下列网址:
如何清除:
AVG手机杀毒软件免费版(Anti-Virus Free)即可轻松防御与清除此类恶意应用,并且提供贴心的加密、优化、备份等各项手机管理功能。轻击小药丸,轻松解决您的手机安全问题。
如何防范:
1、谨慎审查您所安装应用的权限,小心一些需要敏感权限的应用。
2、针对目前恶意修改应用的情况,用户应尽量去市场下载知名厂商的应用,或直接登录该厂商的官方网站下载。
3、针对目前中国用户的特殊情况,选择市场亦应选择较为正规的市场去下载应用。
4、如果您勾选了“未知源”,请谨慎对待您所安装的程序。
5、由于本病毒采用的漏洞需要较低版本的Android系统才可成功利用,所以希望您能尽可能升级您的系统。
最后,如果您只想简单的用好您的手机,并不想思考那么多琐碎的安全细节,您可以直接安装AVG手机反病毒软件。
