2014.03.26

中国安卓应用市场非法收费的常用方法之一是在流行的软件产品中嵌入第三方功能和广告模块，以及强制用户下载软件，最大程度地增加应用程序传播网站的流量。为了达到这些目的，不法分子经常使用各种恶意的软件下载器，Doctor Web公司的技术人员最近成功破获的木马群就属于这类恶意下载器。

这组木马中最核心的恶意软件Android.DownLoader.49.origin是一个常规安卓应用。这一木马作为系统服务安装后开始运行，与远程服务器连接，获取需要下载的对象列表，其中包括一些包含dex文件的压缩文件，下载到存储卡目录/cache/sysjar/中，然后利用DexClassLoader方法加载到移动设备内存中。 这些可执行文件中的有一个就是木马下载器，已经被添加到病毒库中，命名为Android.DownLoader.43.origin，其功能是下载各种应用程序，包括恶意应用。另一文件包含木马Dropper，有不同的变种，有root权限时就能够在系统目录中安装其他恶意应用。

除了这些压缩文件，Android.DownLoader.49.origin还能够下载其它软件，并且在没有得到用户允许的情况下进行安装。如果没有root访问权限，移动设备用户会看到安装下载软件的常规系统提示。 木马Android.DownLoader.43.origin本身也能够使用类似方法与远程服务器连接，获取应用列表，并将这些应用下载安装到被感染的移动设备。需要注意的是这一列表中还含有功能类似的其它木马下载器。这样，病毒编写者实际上是制作了一个恶意软件链，能够互相传播，还能够传播能够为不法分子盈利的应用。目前Doctor Web公司的技术人员已经侦测到将近10例此类木马下载器，而不法分子的服务器上用于非授权安装的软件多达600种。

此类木马编写者最有可能的动机是在用户移动设备上未经授权安装各种应用，使其利用这种不正当的方式获得广泛传播，并从每次安装获得相应的利润。此外，除了普通软件，不法分子服务器可随时下达下载其它恶意应用的指令，例如，短信木马或间谍木马，这也会给不法分子带来收入。

所有上述恶意应用已被大蜘蛛手机全面保护版Dr.Web for Android成功侦测，不会给我们的用户造成威胁。

欢迎使用大蜘蛛保护您的安卓设备