[轉載]新型安卓惡意程式:可自行Root並卸載安全軟體
FireEye Labs的安全研究人員發現了一個源自中國的Android惡意程式家族,它正迅速傳播到全世界20多個國家,它的指令控制伺服器(CC)功能變數名稱是aps.kemoge.net,因此被取名為Kemoge。Kemoge將合法應用重新打包,偽裝成合法應用上傳到第三方應用商店,通過網站和廣告宣傳,用戶一旦安裝之後它會收集設備資訊上傳到廣告伺服器,然後用廣告轟炸用戶。Kemoge一開始只是惱人,但很快它會變得邪惡。它會調用一個多重加密的壓縮檔,該壓縮檔包含了最多8個root利用可執行工具,去獲取root許可權,將AndroidRTService.apk植入到系統分區/system。植入到系統分區之後用戶將設備恢復出廠設置也無法抹掉惡意程式。
惡意程式然後聯繫aps.kemoge.net獲取指令,將IMEI、IMSI、儲存資訊和安裝應用等資料上傳到CC伺服器,CC伺服器發回指令卸載安全應用和流行的合法應用。研究人員分析的樣本代碼中全都包含簡體中文字元,發現了一個叫Zhang Long的中國開發者。
頁:
[1]