追踪 | “中国移动”App 竟然是锁机病毒，幕后主使是一名高中生“黑客”

本文原标题《Trick蠕虫病毒来袭！幕后主使竟是一名高中生“黑客”！》,作者：安天AVL&小米安全中心，转载自安天AVL移动安全团队公众号，小编()已获授权转载。

近期，安天AVL移动安全团队和小米MIUI安全中心发现一款携带勒索功能的拦截马Trick，经过样本溯源发现，该病毒竟出自国内一名高中生之手。该病毒伪装成中国移动，以免费获取话费的短信诱惑用户下载安装。

该病毒运行后会执行以下恶意行为：

• 窃取用户短信并上传到指定邮箱；
• 根据短信指令锁定手机进行勒索；
• 根据远程短信指令遍历联系人，并向所有联系人群发附带恶意下载链接的钓鱼短信进行恶意传播；
• 一旦发现用户执行卸载此恶意软件的操作，该病毒会直接锁定用户手机，并对用户进行勒索。

病毒运行流程图如下：

Trick病毒程序运行后，首先获取用户手机中的所有短信，以邮件正文的形式上传至指定邮箱，同时还会将短信内容写入txt文件中，通过邮箱上传，邮件标题为“短信”。

通过对Trick病毒样本的溯源，我们发现了该恶意开发者的邮箱信息，在邮箱中发现大量感染用户的隐私信息，其中以各类短信验证码最为常见。

虽然该病毒样本本身并没有窃取用户账户信息的功能，但是考虑到目前大量的隐私信息被泄露，恶意开发者极有可能通过其他渠道获取到感染手机QQ、微信、银行卡账户等信息，后续通过短信拦截马执行解绑、改密、转账等操作。

• 更换微信绑定关系：

• 更换平安普惠设备验证码：

• 更换QQ号绑定手机：

• 银行转账验证码：

• 订购腾讯业务：

• 微信支付验证码：

• 更改银行预留电话验证码，开通手机银行：

• SP订阅：

运行后，Trick病毒会诱导用户激活设备管理器，若用户成功激活设备管理器，则会提示用户重启软件：

激活设备管理器后，Trick病毒会弹出虚假对话框，提示虚假信息“程序异常已自动卸载”，并隐藏启动图标。

Trick病毒隐藏图标后继续在后台运行监听系统接收短信的广播。接收到主控手机187********发来的短信，解析此短信内容发现它会执行以下操作：

锁机指令即是对用户手机进行锁定，全屏置顶一个勒索的界面，要求用户联系QQ2038******有偿解锁。

短信指令即通过解析主控手机发送的短信，获取要发送的内容和号码，并控制用户手机在后台发送。

群发指令即遍历用户手机中所有联系人进行短信群发，短信内容为“http://pre.im/ZxI2下载登录进去填我邀请码156941 可以领话费我已经领了30”。该网址下载的就是其自身应用，当前该链接已失效。

该应用的图标为中国移动，配合钓鱼短信内容，恶意诱导性极强。

Trick病毒通过监听系统接收短信的广告，将非主控手机发送的短信通过邮件实时上传，邮件标题为“小伟拦截马”。

Trick病毒运行后会启动设备管理器，用户卸载应用之前必须先取消激活设备管理器。一旦监测到用户执行取消激活设备管理器的操作时，该病毒会直接将用户手机锁屏并勒索，勒索界面与以上锁机界面相同：

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!