手機病毒大揭密，那些您不知道的事 - Android

http://ppt.cc/55Ad

不少人收到了「你被偷拍了」的簡訊，簡訊內容的URL：
hxxp://199.101.117.21/index.php，會下載一個惡意的APK，AegisLab在第一時間即取得
病毒特徵碼，並予以使用者安全的防護！

新聞報導：「你被偷拍了」簡訊有毒 竹科防毒業者抓到病毒碼

因受害者不斷的增加，AegisLab 決定公開一些細節，希望不要再有受害者了！

2013/09/10 更新：目前駭客手上的名單已經超過十五萬人！

根據 AegisLab 掌握的資訊，駭客手上握有一份超過一萬人的名單，駭客會透過這些清單
去發送簡訊，簡訊內容會有受害者的名字、一段吸引你去點擊的文字和 URL，AegisLab
收集到了多種版本的簡訊樣本：

一旦點選裡面的網址，會下載一個惡意APP，如果選擇安裝，手機即會"中毒"，目前受害
者已經超過一千人，該 APP 裝起來之後，會先傳送手機資訊給C&C Server，底下為其中
一筆真實資料：


最後再加上APP裡面的兩個值：user_id及target_id！

user_id及target_id為SERVER區分手機用的，所以跟SERVER連線都會帶這兩個值！


剛安裝時會跟SERVER要一個URL（帶user_id及target_id),這個URL為無名小站相簿裡的一
張照片，如果在APP還沒跟SERVER要這個URL之前開啟APP的話，畫面會是黑的，等到APP拿
到URL之後，才會顯示無名小站的那張照片！


接下來，會收到幾個回傳值：

0935120188

+886936019061

+886911513075

+886911510522

839





+886936019061、+886911513075、+886911510522這幾個值，其實是駭客用來申請「小額
付費」服務的電話！



下圖為 AegisLab 所收集到的部份資訊，黑體字是駭客所使用的 user_id，紅色為上述駭
客申請小額付費服務的手機號碼，藍色為受害者的手機號碼或 IMEI，可以看出駭客利用
小額付費在謀取不當之財，還有受害者已經快被刷爆了！！





另外，此惡意APP在被害者的朋友傳簡訊進來時，APP會先將資訊記錄下來，當被害者回簡
訊的時候，才會將簡訊內容傳到SERVER。而當一個人傳的簡訊內容包含"*#060#"的話，
APP會將簡訊給攔下來，被害者不會知道有這封簡訊傳進來！



駭客所使用的主機位於韓國，作業系統為 Windows Server 2003 簡體中文版！





我們可以歸納出整個惡意的流程：

1.駭客依據收集到的電話清單，發送吸引你去點擊的簡訊內容！

2.收到駭客所發送的簡訊後，點擊簡訊內的URL，下載了一個惡意的APK！

3.駭客利用你的電話號碼來謀取小額付費的利益、竊取你的簡訊及幫他散播病毒！



簡訊病毒 – 相關資訊分享回報區: http://ppt.cc/~YWh

手機簡訊病毒個資外洩查詢系統: http://ppt.cc/K0EM

--