惊现Android木马病毒 通过移动僵尸网络传播

ZDNET安全频道 09月06日 编译文章：据卡巴斯基实验室的最新报告显示，其“首次发现了黑客通过使用不同的移动恶意软件来创建僵尸网络并以此来传播恶意软件的案例。”

这听起来是不是很不可思议？

然而，黑客通过移动僵尸网络来传播恶意软件其实只是迟早的事。

该僵尸网络由Obad.a和Opfake.a程序搭配组成，用户一旦安装了该程序后将导致Android设备受感染并使得恶意软件得到大面积的传播。

俄罗斯反病毒公司卡巴斯基称，该恶意软件的罪魁祸首Backdoor.AndroidOS.Obad.a是“史上最为复杂的Android木马程序。”其还表示“就Obad.a的复杂程度和被其利用的漏洞数量（未公布）而言，它看起来不像是个Android木马病毒，反倒更像是一个Windows恶意软件。”

到目前为止，所有有关Android恶意软件的报道均提醒用户必须保持高度警惕以防设备收到病毒感染。

一位名为Roman Unuchek的卡巴斯基实验室专家写道，Obad.a采用了入侵Android常用的方式，如短消息服务（即短信）、垃圾信息、假冒Google Play商店，以及被黑掉的或不可信的Android软件下载站点等——其最新的伎俩则使得该木马比普通的Android木马更具传染性。

在实际情况中Obad.a是与另一个手机木马SMS.AndroidOS.Opfake.a一道传播的。这个木马使用了入侵Android的常用方式并伪装为一个用户想要下载的应用程序。一旦用户被种下该木马病毒，Opfake.a就会利用Google云消息服务（GCM）给用户发送一条短信，短信内容如下：

彩信已发送成功，请点击www.otkroi.com下载。

如果用户点击了这个链接，一个名为mms.apk的文件就会自动下载到用户的智能手机或平板电脑上，该文件中包含有Opfake.a程序。而后，用户如果选择运行这个应用程序，那么僵尸网络的命令和控制服务器就能够给该木马发送指令，向用户设备上的所有联系人发送以下消息：

您有一条新彩信，请点击http://otkroi.net/12下载。

一旦用户点击这个链接并下载彩信，那么Obad.a就会被自动加载到mms.apk或mmska.apk的文件名下。用户如果运行了这些程序，其就将成为Obad.a的一个传播网络。

当然，以上动作的实现都需要用户的参与，于是许多用户纷纷中招。

据Unuchek介绍，一家俄罗斯大型移动运营商的统计数据表明，“在短短5个小时内，就有600条带有Trojan-SMS.AndroidOS.Opfake.a木马的短消息被成功发送。多数情况下这些短消息都由受感染的移动设备发出，而此前黑客就曾利用短信网关做了几次类似的病毒传播。另一方面，目前只有少数设备受到Opfake.a的感染，Opfake.a会通过发送链接让用户下载Obad.a程序，因此我们可以得出一个结论，即该恶意木马的创建者是通过租用部分移动僵尸网络来实现对恶意软件的传播。”

而这导致的最终结果，就是使得该僵尸网络能够迅速传播Opfake.a和Obad.a程序。

据卡巴斯基统计，目前一共发现了“12个版本的Backdoor.AndroidOS.Obad.a程序，所有这些程序都具有相同的功能集合和高级别的代码混淆。每个版本的木马程序都会利用一个允许恶意软件获得设备管理员权限的Android系统漏洞，而用户将很难删除掉这些木马程序。”

对此，Google已经关闭了Android 4.3中曾遭Obad.a利用的安全漏洞。同时卡巴斯基也表示“尽管漏洞依然存在，但用户可以下载最新版的KIS（Kaspersky Internet Security）for Android 11.1.4删除所有Android系统版本中的Obad.a程序。”