2014.11.06

Doctor Web公司技术人员侦测到了一种用于感染安卓系统移动设备、具有强大自我保护机制的拨号器木马。这种不经用户同意就拨打高额吸费电话的恶意程序很久前就已为人所知：类似威胁在利用dial-up技术通过调制解调器上网的慢速网络时代曾广为流传，后来经常用来攻击移动设备。这些恶意程序的主要任务是与特定电话号码建立连接（大多情况下是“成人”娱乐服务的号码），将从受害者帐户中扣除的巨额费用转到不法分子的口袋中。虽然目前类似程序并不常见，但仍是不法分子获取非法收入的一种手段。

Doctor Web公司技术人员已将这一新安卓木马添加到病毒库中，命名为Android.Dialer.7.origin。 这种木马属于拨打收费电话的传统的恶意拨号器，不法分子将其伪装成色情应用程序加以传播，安装后将快捷方式放到移动设备主屏幕上，由于快捷方式将没有签名和图标，导致一些用户会误认为程序安装失败。在某些情况下，Android.Dialer.7.origin启动后可显示所请求服务访问错误的消息，并删除之前创建的快捷方式，随后作为系统服务运行，这样就会达到在被感染系统中彻底隐藏自身痕迹的目的。除了通过快捷方式手动启动，该木马还能够自动激活服务（例如，在打开被感染设备后），所以实际上该恶意软件无需用户操作即可自行启动。

Android.Dialer.7.origin启动后会定期呼叫其信息保存在木马设置中的号码803 402 470。如有必要，网络犯罪分子能够从管理服务器向恶意应用程序发送相关命令，改变拨号木马中事先指定的号码，这样就提高了木马Android.Dialer.7.origin功能的灵活性，让病毒编写者可以通过多个付费服务立即获利。

为了降低用户发觉恶意活动的可能性，在电话通话时木马会禁用移动设备听筒，从系统日志和呼叫列表中的删除所有其活动记录，以便彻底隐藏恶意活动。

这一拨号木马的主要特点是能够阻止受害用户从被感染移动设备将其删除：一旦受害者打开用于管理应用程序的系统设置，Android.Dialer.7.origin就会中断用户操作并将其转回操作系统主屏幕，因此无法对这种木马进行手动删除。

Doctor Web公司反病毒产品不仅能够侦测这种木马，并可将其从被感染移动设备成功删除，因此使用Dr.Web Anti-virus for Android和Dr.Web Anti-virus for Android Light的用户可不必担忧，您的移动设备在可靠保护之下，此木马无法入侵。如果删除Android.Dialer.7.origin时出现问题，请使用反病毒软件内置的设备紧急解锁功能，随后重新进行扫描和清除。