病毒在用戶不知情的情況下私自獲取用戶短信信息以及聯(lián)系人號(hào)碼信息，私自獲取手機(jī)號(hào)以及IMEI、IMSI等信息，發(fā)送到指定url，具有隱私竊取屬性。

應(yīng)用啟動(dòng)后，獲取用戶短信信息，如圖2-1所示：

圖2-1 獲取用戶短信信息

獲取用戶聯(lián)系人信息，如圖2-2所示：

圖2-2 獲取用戶聯(lián)系人

獲取手機(jī)號(hào)以及IMEI、IMSI等設(shè)備信息，如圖2-3所示：

圖2-3 獲取用戶設(shè)備信息

啟動(dòng)線程上傳到服務(wù)器，如圖2-4所示：

圖2-4 上傳用戶隱私數(shù)據(jù)

通過(guò)抓取數(shù)據(jù)包獲取竊取用戶隱私證據(jù)，如圖2-5所示：

圖2-5 抓取上傳數(shù)據(jù)包

上傳數(shù)據(jù)包中的用戶聯(lián)系人及短信信息，如圖2-6所示：

圖2-6 上傳數(shù)據(jù)包信息

數(shù)據(jù)泄露案追蹤

我們的隱私信息獲取有很多時(shí)候被竊取了，我們不知道，第三方也無(wú)法獲取，只有竊取者掌握，與此病毒的行為對(duì)比我們或許還感到一絲安全。此病毒所使用的服務(wù)器地址為：http://*****.***/ck1/index.php，對(duì)其進(jìn)行追蹤時(shí)發(fā)現(xiàn)，其獲取的用戶隱私數(shù)據(jù)完全曝光在互聯(lián)網(wǎng)的陽(yáng)光下。

服務(wù)器首頁(yè)展示用戶隱私數(shù)據(jù)獲取日志，如圖3-1所示：

圖3-1 首頁(yè)日志

通過(guò)追蹤獲取服務(wù)器數(shù)據(jù)管理地址，進(jìn)入用戶信息管理系統(tǒng)，如圖3-2所示：

圖3-2 用戶管理系統(tǒng)

用戶管理系統(tǒng)中，通過(guò)分類(lèi)和用戶ID對(duì)用戶信息進(jìn)行查看和修改，如圖3-3所示：

圖3-3 用戶信息修改

通過(guò)用戶ID查看用戶詳細(xì)通訊錄，如圖3-4所示：

圖3-4 用戶聯(lián)系人

通過(guò)用戶ID查看用戶短信信息，如圖3-5所示：

圖3-5 用戶短信信息

逐本溯源

遇見(jiàn)這樣的令人發(fā)指的隱私竊取的賊我們絕不放過(guò)，但是此經(jīng)過(guò)分析此病毒為新型未成型的病毒，追溯到的信息也很少，我們只能對(duì)其服務(wù)器域名進(jìn)行溯源，該域名通過(guò)第三方注冊(cè)，并未獲得更多注冊(cè)者信息。

通過(guò)域名的whois查詢，獲取到注冊(cè)信息，如圖4-1所示：

圖4-1 域名溯源

安全建議

• 建議用戶提高警覺(jué)性，使用軟件請(qǐng)到官網(wǎng)下載。到應(yīng)用商店進(jìn)行下載正版軟件，避免從論壇等下載軟件，可以有效的減少該類(lèi)病毒的侵害。關(guān)注”暗影實(shí)驗(yàn)室”公眾號(hào)，獲取最新實(shí)時(shí)移動(dòng)安全狀態(tài)，避免給您造成損失和危害。
• 為防止病毒變種，用戶發(fā)現(xiàn)已經(jīng)安裝此病毒的，可以請(qǐng)專(zhuān)業(yè)人員分析此病毒，獲取服務(wù)器地址，將參數(shù)x設(shè)置值為4，將特定ID用戶數(shù)據(jù)刪除。
• 用戶發(fā)現(xiàn)感染手機(jī)病毒軟件之后，可以向“12321網(wǎng)絡(luò)不良與垃圾信息舉報(bào)受理中心”或“中國(guó)反網(wǎng)絡(luò)病毒聯(lián)盟”進(jìn)行舉報(bào)，使病毒軟件能夠第一時(shí)間被查殺和攔截。