Google Play出现的新木马可能已感染了25 000用户

2013.07.25

Doctor Web公司——俄罗斯信息保护安全厂商——公布在Google Play列表中侦测到若干恶意软件，这些恶意软件在用户移动设备中安装发送付费短信并将用户账户归零的 Android.SmsSend Android.SmsSend木马。我们已将此事在第一时间通告了Google公司。

Doctor Web公司的技术人员侦测到的恶意软件为越南人开发，命名为AppStore Jsc，是两个音频播放器，以及一个播放色情短片的视频播放器。

根据Google Play列表的统计信息，安装了这些应用程序的用户数量信息见下表：

.info td, .info th { border: 1px solid #E6E7DF; padding: 5px; vertical-align: top; }

应用程序名称	软件包名称	安装数量
Phim Sex HD-Free	phimsex.videoxxx.clipsex.phimnguoilon.phimconheo.tinhduc	5000–10000
Zing MP3 - BXH Music	phimsexy.mp3.zing.vn.nhaccuatui.bangxephang.bxh.nhachot	5000–10000
Phim Nguoi Lon - Audio 18+	zingmp3.audio18.truyennguoilon.audiotinhduc	1000–5000

三个程序的安装总数达到了1.1~2.5万。

这些应用程序表面上没有任何异样，但内部另藏有一个apk文件，属于短信木马 Android.SmsSend Dr.Web病毒数据库已添加有类似的应用载体，如 Android.MulDrop, Android.MulDrop.1, 和 Android.MulDrop.2 这些载体运行时，用户会看到加载他们感兴趣内容的建议，然而同意加载之后，并不会加载用户想要的内容，而是开始安装新的应用程序。例如，这类“吸管”软件中有一种会建议用户加载新的色情短片。

如果粗心的用户同意在他的Android设备上安装可疑的应用程序，实际上安卓设备上会安装木马 Android.SmsSend.512 这个木马程序会暗中发送短信到恶意软件配置文件中指定的短号码8775。值得注意的是，使用这个木马确实可以观看色情短片。不法分子大概是想通过添加这种功能来增加保险性，以免引起不必要猜疑。

第二个和第三个木马载体包含的恶意软件是 Android.SmsSend.513.origin，该恶意软件和 Android.SmsSend.517的很相似,不同之处是从管理服务器获得发送短信的号码。

我们已向Google公司通告此事。相应的记录已经及时添加到Dr.Web病毒库，因此Dr.Web for Android反病毒产品的用户处于可靠的保护之下，可以免受这些恶意软件侵扰。

点评

To vote, log in under your account or create an account if you don't have one yet.

创建帐户有哪些优势？

Tell us what you think

To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.