阿里移动安全技术团队截获了一款用户无法取消、终止或者卸载的木马，包括使用未更新的安全软件也不能有效帮助用户阻止该木马的霸道安装。用户安装木马后深度隐藏，之后进行大量的信息窃取和远程控制，包括交易短信窃取，盗打电‍‍‍‍‍‍‍‍话及完全控制手机。

‍‍一，木马概述

该木马短小精悍，大小仅为19k，通过伪装成FlashPlayer来欺骗用户进行安装，安装之后，仿冒FlashPlayer应用图标：

二，木马行为及危害

2.1释放文件，霸道安装

一旦点击运行，该木马首先在data目录下创建文件，通过此文件与远程黑客服务器进行实时数据与命令的交互。然后，以FlashPlayer需要“Get video codec access”的理由来诱导用户激活设备管理器。如果用户选择“Acitivate”，则进入木马的控制逻辑；如果用户选择“Cancel”，则木马不断启动激活任务管理器的界面，中断用户的正常操作，强制霸占系统顶层界面，迫使用户选择激活设备管理器。

一般用户根本无法取消、终止或者卸载该木马。使用普通安全软件此时也是形同虚设，无法帮助用户有效阻断该木马的霸道行为。

2.2 深度隐藏，信息窃取，远程控制

用户被迫选择激活设备管理器后，首先会隐藏图标和激活任务管理，以实现完美隐藏和防止用户卸载等功能；其次窃取用户手机的联系人信息，盗取用户短信信息，通过短信拦截实时截获和存储短信信息 ；并会以http post方式与远程黑客服务器进行数据交互和命令交互。通过实时数据和命令的交互，黑客可通过用户手机实现短信转发，盗打电话等功能。黑客可以用户手机为跳板，以获取的联系人为目标进行欺诈等行为。

2.3 目前国外已经发现第二个变种

SHA1:2c1cb7860ab26de15f0104b6076dc2eb51931588，与第一个样本的主要区别在上线url地址发生变化。

三，木马的详细分析

3.1  MainActivity入口模块

主要功能：在data/data/temp文件，设置url链接（用于数据保存和上传），该木马以http post的方式进行数据的交互；启动木马主要的服务模块MMSService；隐藏应用程序的图标和SmsReceiver类

3.2 MMSService模块

主要功能：以FlashPlayer需要“Get video codec access”的理由来诱导用户激活设备管理器。如果选择“Acitivate”，则进入木马的控制逻辑；如果选择“Cancel”，则木马以100毫秒时间间隔不断启动激活任务管理器的界面，强制霸占系统顶层界面，迫使用户选择激活设备管理器，防止用户卸载。

3.3 交互的主要指令

3.4 其他模块

UssdService 盗打电话

UpdateService模块，实时存储短信拦截模块中获取的短信 

SendService模块，以短信形式发送数据

SmsReceiver模块，短信劫持

BootReceiver模块，开机启动

ExpService模块：获取联系人和手机号

四，总结       

此款木马特点是安装手段霸道，用户下载点击安装后便无法取消，即使使用普通安全软件也无法阻止，对用户威胁巨大。目前安卓市场存在多家第三方Android应用市场和大量手机论坛，在为用户提供便捷服务的同时，也埋下了巨大的安全隐患。

* 消息来源：阿里聚安全病毒分析系列，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）