計算機安全人員試圖通過追蹤Android市場應用惡意軟件的“數字指紋”，找出惡意攻擊是如何形成的以及如何達成目的。

谷歌表示在上周二晚刪除惡意程序之前，共有58個“受感染”應用上傳到Android市場，并被26萬左右的設備下載。谷歌發言人說，目前還不清楚有多少用戶啟動了這些應用程序。但激活這些應用程序的用戶可能會面臨手機上個人數據被盜取并上傳至遠端服務器的風險，這些“受感染”應用包括---超級吉他獨奏（Super Guitar Solo），超級條碼掃描儀（Advanced Barcode Scanner），泡泡龍（Bubble Shoot）等等。

[[19918]]

用于協助攻擊的服務器是一條潛在線索。移動安全提供商Lookout公司總裁John Hering表示，基于該公司對該事件的調查，跟蹤接受攻擊“命令和控制“指令并用于存儲被盜手機數據的服務器之后，追查到一家 位于加利福尼亞州弗里蒙特的互聯網服務提供商---颶風電子（Hurricane Electric）。 Hering先生說，他的公司在發現該服務器在攻擊中的重要作用，已于3月2日聯系颶風電子并要求該公司關閉服務器。

3月9日，颶風電子 營銷總監Benny Ng，確認該公司位于弗里蒙特 的服務器已關閉。不過，Ng先生說，該服務器并不直屬颶風電子總部，而是下級經銷商所有，并已通知并要求該經銷商關閉服務器。Ng先生不愿透露經銷商的名稱，并表示颶風電子總部不能關閉該服務器，因為它沒有登錄權限。他說，“一般情況下，經銷商都會主動配合，他們會遵守規定，并且已經關閉了該服務器“。

Ng先生沒有說他的公司已經因為這次攻擊而受到有關執法官員調查。但是，他明確表示公司經常收到因服務器損壞而尋求相關信息 的執法官員的傳票。

“他們想知道是誰的服務器以及他們的聯系信息，“Ng先生說。 “他們想知道費用信息，有時是某個帳戶的電子郵件或其他聯系方式。“

另一條調查人員正在追查的線索是， 一個德國安全工程師的博客。其中寫道：大約兩個軟件被黑客改變用途以創建Android病毒DroidDream攻擊。這位工程師沒有對評論進行任何回復。

來自電腦安全公司Veracode的首席技術官Chris Wysopal說，“他絕對是一個好人，只是對Android平臺和破解感興趣“。越獄（系統破解）與Android病毒DroidDream攻擊過程類似，是開發人員用來描述由一名程序員獲得手機操作系統完整的“根“訪問權限的術語。

Wysopal先生說，開發DroidDream的人可能是在blogspot.com的忠實讀者，具有諷刺意味的是，該網站由谷歌擁有。 “谷歌服務器日志中會有所有訪問過這個博客的登陸數據。“Wysopal先生說：“除了[互聯網協議]的地址，他們還有儲存在用戶本地終端上的數據，因此如果訪客是Blogger或BlogSpot的用戶，就可以獲得賬戶信息。“

當然，在發布這些惡意程序的開發商賬戶中也可以找到一些線索。 Reddit新聞網ID為Lompolo的用戶，發現了第一款感染RoidDream 的應用實例，那是在他看到自己下載的應用有一款雷同軟件之后。一款名叫 “Myournet“的應用，是另一個合法程序的盜版。

隨后，Lookout稱又發現了兩個帳戶---“kingmall2010“和”we20090202“ ，發布了更多的含有同樣代碼的應用程序。因為代碼混淆和加密，找到惡意代碼非常不容易，Hering先生說。

3月5日星期六，谷歌在博客中說，它已暫停了“相關開發者帳戶，并開始有關此次襲擊的法律程序“。

研究人員說，很難猜測此次攻擊的意圖，因為“感染”軟件在手機中下載額外的軟件時會被發現。不過，考慮到下載的數量和復雜的攻擊，他們推測攻擊者試圖創建一個僵尸網絡，用于發送垃圾郵件，發動聯合攻擊試圖使服務器癱瘓，或散布收集密碼和信用卡號碼的后門軟件等非法用途。

僵尸網絡已經成為PC世界的現實，嚴重得會挾持5萬至20萬個終端設備。 安全供應商卡巴斯基實驗室的高級研究員Denis Maslennikov，在3月3日公司博客上寫道：“能夠在設備上安裝其他應用的能力，給病毒傳播者一個賺錢的途徑---在終端部署Adware或其他廣告應用“。

【編輯推薦】

1. Android官方安全補丁被惡意修改
2. 暢享極致網絡生活就要鏟除惡意攻擊
3. 八款必備Android安全程序
4. Google兩步登陸的安全性分析與保護措施