2014.10.01

在个人电脑得到广泛普及之初大多数恶意软件的编写动机是取乐和显摆能力，而非获取利益。但编写病毒的目的渐渐都转为非法盈利，现在数不胜数的信息威胁大军中已很难找到用于实现其他目的的木马，因此Doctor Web公司技术人员侦获到这样一种木马显得颇不寻常，而且此木马攻击的不是电脑，而是安卓手机和平板设备。此木马很有研究价值，但能对用户产生的危害也不容忽视：木马能删除内存卡的所有数据，使用户无法读取短信，还可阻止显示常用通讯软件窗口，妨碍用户正常联络。

这一新的安卓木马已被添加到Doctor Web公司病毒库，并命名为Android.Elite.1.origin。这是一种非常罕见的属于破坏类软件的木马，编写这种恶意软件的目的不是非法获利，而是为了证实其编程实力，公开对某一事件的看法，或者是为了取乐或搞破坏。此类威胁经常是显示各种通知、损坏用户文件、妨碍设备正常运行。新的安卓木马具备的正是这些恶意功能，假冒流行软件（如游戏软件）来进行传播。

Android.Elite.1.origin启动时会欺骗用户正常安装需要管理员权限。获取管理员权限后木马会立即修改SD卡，删除卡上所有数据。之后会等待用户启用常用的通讯软件。

用户一旦启用Facebook客户端、软件WhatsApp Messenger、Hangouts，或者是操作系统收发短信的常规应用， Android.Elite.1.origin就会阻止打开这些软件的界面，在屏幕上显示OBEY or Be HACKED，而且这种锁屏只针对这些软件，而不妨碍其他应用和操作系统的运行。

为了进一步阻碍用户进行联络，木马阻止向用户发出接收到新短信的所有通知信号。所有新短信都会保存并移至“收件箱”，但用户因相关应用被锁还是无法阅读这些短信。

除了更改SD卡和部分锁定通讯工具，Android.Elite.1.origin还会每隔5秒向电话簿中的所有号码发送这样的短信：

HEY!!! [联系人的名字] Elite has hacked you.Obey or be hacked.

此外，还向所有短信的发件人手机号码发送类似短信：

Elite has hacked you.Obey or be hacked.

这样，受害人手机话费会在几分钟甚至几秒钟内被全部用光。

Doctor Web公司建议用户不要从可疑地址下载应用，而且不要为这些应用打开管理员权限，以免文件被损或出现其它后果。Android.Elite.1.origin记录已添加到Dr.Web病毒库，因此Dr.Web for Android 和Dr.Web for Android Light 的用户不必为此担忧。