2014.03.06

恶意软件会嵌入安卓操作系统的各种固件进行传播，对于这种危险，信息安全专家早已了解，但是很多普通用户并不知情。同时清除这类威胁非常困难，可能会造成保修被拒，珍贵信息或设备性能损坏。Doctor Web公司提醒安卓移动设备用户，不仅第三方操作系统会包含这种木马，安装即会遭遇恶意软件的危害，而且在购买新设备时也可能因设备上安装有不必要的应用而产生安全问题。下面介绍的就是后一种情况。

已被添加到Doctor Web公司病毒库中的恶意软件Android.SmsSend.1081.origin，是一个安卓固件中直接内置的播放器，它有一个隐藏功能，就是将用户IMSI验证码信息发送到指定的号码。此软件编写者的意图是该操作会使用户注册到中国的一项音乐在线服务。 然而实际上这一软件的运行不受任何限制：既不检查移动设备用户地理位置，也不控制每次启动播放器时发送的短信数量。例如，对于俄罗斯用户来讲每条这样的短信就会造成5-7卢布（约1元人民币）的花费。这样，开发者最初设置的一个有用的软件功能最终变成了恶意功能，所以我们的病毒分析师将其确定为木马。

值得注意的是，包含于操作系统映像内部的木马现在还没有广泛传播，然而他们的危险性并不比不法分子利用各种应用列表、论坛和网站传播的需用户自己安装的其他恶意软件小。一月份Doctor Web公司就曾报道过有类似木马程序参与的最新事件：十几万台移动设备上侦测到的木马Android.Oldboot.1隐藏在文件系统内部，在每次启动时都会感染移动设备，其主要任务是安装和删除各种软件。这之后又侦测到了向指定号码发送包含移动设备IMEI识别码信息短信的木马，其记录已经添加到病毒库，这一Dr.Web for Android（手机全面保护版）能够成功侦测的恶意软件被命名为Android.SmsSend.1067.origin，是短信标准系统包的变种。

这些恶意软件的主要危险性不只在其功能，还在于使用标准方法删除它们需要获得操作系统功能以及文件系统（root访问）访问权限，或安装绝对“干净”的固件版本。所有这些操作都会伴随一定的风险，因为需要干预文件系统，不仅会导致保修被拒，还可能造成珍贵数据的丢失，甚至移动设备损坏。

为了尽量减少这些恶意软件造成的不良后果，安卓操作系统移动设备用户应该避免使用未经验证的文件固件版本，并且不要从可疑来源购买移动设备。如果还是遭遇了类似的木马程序传播，建议用户进行以下步骤。

• 确认使用的是否是原装固件版本，即移动设备生产商提供的版本。这需要联系生产商，如技术支持服务。如果使用的固件版本不是原装版本，建议安装与设备供应商说明相符的操作系统映像出厂版本。
• 如果您为移动设备自行安装了第三方固件，而其中包含木马，建议将其恢复至出厂固件版本。
• 如果现用固件为出厂版本，却包含恶意软件，同样必须联系生厂商进一步澄清。
• 如果您有足够的技术知识和技能，可预先获取root权限，尝试删除恶意软件，然而这样做可能会导致保修被拒或移动设备损坏，因此进行这种操作需要自行承担风险。
• 如果现用固件版本含有恶意软件，您可以尝试完全或部分禁用，操作是进入系统菜单中的应用管理，对相关软件选择“禁用”操作。