近日，Doctor Web安全小組發現了一個新的Android木馬，被命名為Android.Backdoor.260.origin。該木馬在中國用戶之間傳播，監視著受害者的信息。攻擊者可以利用該木馬劫持受害者的短信、通話記錄、定位GPS坐標、屏幕截圖，甚至還可以搜集所有用戶輸入的數據。

[[147163]]

由于Android.Backdoor.260.origin會以"AndroidUpdate"名字散播，所以受害者很有可能在他們的移動設備上安裝它。

木馬詳情分析

Android.Backdoor.260.origin有一個相當復雜的模塊化結構，其最主要的惡意功能被嵌入進了惡意程序的安裝包中。首次啟動時，該木馬會提取以下組件：

super
detect
liblocSDK4b.so
libnativeLoad.so
libPowerDetect.cy.so
1.dat
libstay2.so
libsleep4.so
substrate_signed.apk
cInstall

接下來它會嘗試用root權限運行二進制cInstall文件(Dr.Web發現并命名為Android.BackDoor.41)。如果成功運行，惡意模塊就會將之前提取到的文件植入系統文件夾中，然后偷偷的安裝“Substrate”工具。該工具具有擴展應用程序的功能，但已被Android.Backdoor.260.origin利用于劫持用戶輸入的數據了。如果該木馬不能獲得root訪問權限，那么上述一系列惡意操作將不會出現。

如果所有的模塊都已安裝完成，Android.Backdoor.260.origin木馬便會刪除之前創建的快捷方式，然后啟動PowerDetectService惡意服務。該服務會以libnativeLoad.so和Substrate名義運行惡意模塊。事實上，這個工具并不是惡意軟件，很容易能從Google Play下載到。但是攻擊者修改了原版的應用，然后把修改后的版本放到Android.Backdoor.260.origin中。因此，這個工具對于手機用戶來說就有潛在的危險性。

libnativeLoad.so組件會運行“detect”文件(Android.BackDoor.45)，它會啟動1.dat模塊(Android.BackDoor.44)，這個模塊會激活libsleep4.so庫(Android.BackDoor.46)和libstay2.so庫(Android.BackDoor.43)，前者會不斷地對手機截屏，并對用戶輸入的數據進行截聽，后者的功能則是竊取通訊錄，監控手機短信和QQ信息。

1.dat組件可以通過C&C服務器接受大量命令，如下：

1.DOW-從服務器上下載文件
2.UPL-上傳文件到服務器
3.PLI、PDL、SDA-更新惡意模塊和設置
4.DIR-獲得特定文件夾中的文件列表
5.DTK-將特定文件夾中的內容寫到一個文件中
6.OSC、STK-在文件夾中搜索制定文件
7.OSF-中止搜索指定的文件
8.DEL-刪除指定的文件
9.SCP-截圖
10.BGS-激活麥克風并開始錄音
11.GPRS-定位GPS坐標

需要注意的是，有些指令是1.dat模塊自己執行的，而另一些是在其他一些惡意庫的幫助下執行的，這些庫使用以下的這些雙字節指令通過UNIX sockets互相通信：

0x2633-開始使用內置麥克風記錄，
0x2634-停止錄音，
0x2635-更新錄音配置文件，
0x2629-復制聯系人列表，
0x2630-復制聯系人列表，
0x2631-復制短信，
0x2632-復制通話記錄，
0x2628-發送設備位置信息到服務器
0x2532-發送當前運行的應用程序信息到服務器
0x2678-上傳用戶輸入的數據到服務器

安全建議

安全專家建議用戶一定要從可信任的來源處獲得應用程序安裝包，未知來源的應用程序一定不要安裝。另外，最好要安裝一個受信任、有效的殺毒軟件。