2013.09.20

俄罗斯信息保护反病毒产品生产商Doctor Web公司的技术人员发现世界上最大的安卓移动设备僵尸网，网内被恶意软件家族Android.SmsSend感染的智能手机已超过20万部。主要的感染源是不法分子建立的网络资源或被其解密的网络资源。感染设备数量最多的是俄罗斯，处于第二位的是乌克兰，其次是哈萨克斯坦和白俄罗斯。据初步计算，不法分子给用户造成的损失达数十万美金。

不法分子感染智能手机并将其纳入僵尸网使用的是几种恶意软件，其中有新的木马程序Android.SmsSend.754.origin和恶意软件Android.SmsSend.412.origin （伪装为移动设备浏览器，2013年3月被侦测到），Android.SmsSend.468.origin（2013年4月被侦测到）和伪装成社交网络"同学网"客户端的 Android.SmsSend.585.origin（此恶意软件Dr.Web反病毒软件2013年6月已记录到病毒库）。此次僵尸网侦破过程中发现的最早的木马程序版本是Android.SmsSend.233.origin，2012年11月就已记录到Dr.Web病毒库。大多数情况下感染源是不法分子建立的网络资源或被其解密后用于传播恶意软件的网站。

木马程序Android.SmsSend.754.origin是一个名为Flow_Player.apk 的apk应用程序。安装到操作系统后会要求用户以设备管理员权限启动，这就使恶意软件能够控制锁屏。启动后Android.SmsSend.754.origin会在主屏幕隐去其图标。 

安装结束后木马程序向不法分子发送被感染设备的相关信息，包括独有识别码 IMEI、余额、国家代码、手机号、移动供应商代码、手机型号和操作系统版本。之后 Android.SmsSend.754.origin 会等待不法分子发出的指令，按照指令向指定号码发送指定内容的短信、使用联系薄进行短信群发、在浏览器打开指定的网址或在手机屏幕显示一定标题和内容的通知。

根据Doctor Web公司技术人员收集到的数据，此僵尸网内操作系统为Google Android移动设备数量已超过20万部, 其中俄罗斯用户数量最多（128 458），其次是乌克兰 （39 020）和哈萨克斯坦（21 555）。下图显示的是威胁传播的详细数据：

下图是被感染手机所属移动供应商的分布情况。

这是近半年来发现的最大的Android移动设备感染事件。据Doctor Web公司技术人员初步计算，不法分子给用户造成的损失可达数十万美金。

目前Dr.Web反病毒软件已能够侦测并删除所有上述威胁。为避免感染，建议安卓移动设备用户不要从可疑的网站安装软件。Doctor Web公司技术人员在继续监控事态的发展。