导语:一个叫做Trojan-Banker.AndroidOS.Tordow.a的恶意软件家族会感染智能手机,并深度隐藏在设备中,最后窃取用户敏感信息,然后上传至恶意软件开发者服务器上。

一个叫做Trojan-Banker.AndroidOS.Tordow.a的恶意软件家族已经开始在四处制造受害者了。他们会感染智能手机,并深度隐藏在设备中,最后窃取用户敏感信息,然后上传至恶意软件开发者服务器上。

这一恶意软件家族是在2016年的2月首次出现,当时感染用户的方式主要是通过安卓第三方应用市场。

卡巴斯基安全实验室的恶意软件分析师Anton Kivva说,大多数传播Tordow的应用都是现在流行的安卓应用程序的盗版产品,如VKontakte,DrugVokrug,Pokemon Go, Telegram,Odnoklassniki和 Subway Surf.

攻击者们拿到这些应用,查看其源代码,然后将自己已经写好的恶意代码植入其中,并重新将应用打包,然后将新制作的应用放入到第三方应用商店上。

有些应用千万不能下载

用户一不小心就有可能下载了这些应用,打开应用便会触发恶意代码,从而恶意行为开始上演。

Kivva称这些恶意代码实质上是一种下载工具,它们会将更多的恶意代码吸引到用户的设备上。有些代码包种含有漏洞利用程序,它们能帮助恶意软件获得设备的root权限。

在获得root权限后,Tordow便能完全掌控这台设备了。研究者说他在木马的源代码中发现了一些恶意功能,比如偷取联系人信息,打电话,发送,偷取并删除短信。

另外,这一木马病毒还能下载并在设备上运行文件、安装或卸载应用、屏蔽对于一些特别网页的访问、重命名设备上的文件、将文件上传到某一在线服务器以及重启手机。

从本地的一份文件中可以看出,Tordow所瞄准的目标是安卓股票浏览器和谷歌浏览器的数据库。这个数据库不仅包含了用户的浏览历史,而且含有用户密码。另外,这个病毒还瞄准了用户的照片。

在安卓手机木马中,这不是第一个可以获取root权限的木马,也不是第一个能够窃取用户照片和浏览记录的木马。比如,Android.Loki木马也能够获得设备的root权限;Marcher 木马能够偷取很多安卓应用的登录信息,当然还有更多能够拿到root权限的木马:GodlessZtorgLibskinMatrixRootnikShuanet

源链接

Hacking more

...