2014.11.14

Doctor Web公司技术人员侦测到一种直接嵌入安卓移动设备操作系统镜像中的新木马。这种恶意应用程序被命名为Android.Becu.1.origin，能够不经用户同意下载、安装并删除软件，还能够拦截特定号码发送的SMS消息。

该恶意程序是由多个密切相互作用的模块组成的综合性威胁。Android.Becu.1.origin的主要组件是命名为Cube_CJIA01.apk的apk文件，该文件直接安装在系统目录中并持有操作系统的数字签名，使木马权限不受限制，无需用户干预也可执行各种操作。此外，由于这种恶意程序直接位于移动设备固件中，所以难以用传统方法删除。

设备持有人每次启动被感染设备或接收新SMS消息时木马都会开始进行恶意活动。一旦出现上述其中一种情况，Android.Becu.1.origin就会根据自身配置文件从远程服务器下载加密数据块，数据块解密后被命名为uac.apk，保存在木马工作目录下，利用DexClassLoader在操作内存中启动。此后，木马会启动保存在同一工作目录的第二个组件uac.dex。这两个模块负责实现恶意软件的基本恶意功能，即根据控制服务器指令悄悄下载、安装及删除这样或那样的应用程序。

成功激活上述组件后，该恶意程序会在系统中检查com.zgs.ga.pack包是否存在第三个模块，如不存在，则会下载并安装到设备上。该模块将被感染的智能手机或平板电脑在不法分子服务器上进行注册，为不法分子提供Android.Becu.1.origin活动副本信息。如果木马的一个或多个模块被用户删除，该恶意应用程序主文件将通过重复安装将其恢复。

除了执行其基本功能，即不为人知地对应用程序进行操作，这种新木马还能够拦截来自特定号码的所有SMS消息。

目前Doctor Web公司技术人员已经了解到，在所有价格较低的流行款式安卓设备上都存在这种威胁，其中包括UBTEL U8, H9001、World Phone 4、X3s、M900、Star N8000、ALPS H9500等移动设备。这些设备最可能感染木马Android.Becu.1.origin的途径是不法分子通过互联网传播已被修改的固件文件，这些固件可能是用户自己下载的，也可能有智能手机和平板电脑不法供应商参与犯罪计划，将修改后的固件用于设备操作系统。

由于Android.Becu.1.origin直接安装在操作系统中，用传统方法难以将其彻底删除，所以对付该木马最简单、最安全的方法就是在应用程序控制菜单中将其“冻结”。要做到这一点，需要在已安装程序列表（com.cube.activity包）中搜索到木马主文件，单击“禁用”，使恶意应用程序变成能不活动的程序，不能继续运行。然后对可能在之前安装的木马辅助组件（com.system.outapi和com.zgs.ga.pack包）执行删除操作。

此外，还可以采用更激进的方式应对Android.Becu.1.origin，即在具有root访问权限时手动删除木马主要组件，并安装非常“干净”的操作系统镜像，安装会使保存的信息全部丢失。这两种方法都具有一定的风险，可能会损坏设备性能，所以只有高级用户才可以冒险执行这些操作，并事先要对重要数据创建备份。

Dr.Web Anti-virus for Android和Dr.Web Anti-virus for Android Light 产品能够成功监测该安卓威胁，所以建议用户对自己的移动设备进行完全扫描，检查其中是否有木马Android.Becu.1.origin及其组件。

欢迎使用大蜘蛛保护您的安卓设备