Zscaler的安全研究员德赛称他们发现了数百个感染事件，尤其是针对中国用户的。恶意程序伪装成word文档，名字为“资料”可以看到熟悉的 W logo，本身其实是恶意apk文件，点击就会触发安装进程，且一旦安装不能被轻易卸载。

一旦设备感染，本地提升权限，窃取用户设备身份（IMEI和SIM卡的号码），还有受害者的短信信息等。所有这些都会邮件发送给攻击者。一旦apk文件安装，先给用户弹出错误信息，并且从桌面上删除了word文档的图标。

当出现错误信息时 ，有以下动作

1,发送短信给一个硬编码的数字
2,启动服务 叫做Myservice
3,异步线程 SMSTask 
4,MailTask 后台运行
5,拨打攻击者指定的电话

一，发送短信

短信发送受害者的设备IMEI码给一个硬编码的号码。

调用sendMsg函数

getInstallFlag函数用来取设备的IMEI

发送短信

二，MyService 

此服务用来从收件箱收集用户的短信，收集完都存在本地的日志中

提取收件箱的短信

三，SMSTask线程

Myservice没有到处发短信， 利用SMSTask分析短信的内容

提取短信

  收集完后发送到攻击者的emai

四，MailTask线程

MailTask的主要功能就是收集联系人的信息发到攻击者的email。

发送邮件

软件创建SMTP服务 465端口 发送邮件

五，打电话功能

恶意软件还会拨打攻击者用短信提供的电话。短信发送来时会触发一个广播接收，软件接着按照短信中的指令执行。
例如，恶意程序取出短信中的电话，接着拨出这个号码。

广播接收器

可以确认这个活动从10月10日发起至今三百多个用户已经沦陷，攻击者能够成功地从受感染的用户中检索出详细的短信和联系人列表。

                                                                  攻击者用来接收信息的emai列表

另外，每个email标题为“Message list” 的邮件中都包含了完整的用户短信会话信息
“Contact list”包含了用户的联系人列表。
“由于无处不在的移动设备，难怪基于PC的恶意软件的技术出现在移动领域，”德赛说。“在早期的恶意软件的攻击，攻击者往往会以引人注目的标题命名恶意文件，并使用常见的图标，诱骗受害者打开文件。这个安卓的恶意软件也应用了相同的套路。

六，如何卸载软件

1，安全模式启动设备（方法因设备而异），安全模式只应用默认设置，不运行第三方应用。
2，要卸载它首先取消它的管理员权限，Settings --> Security --> Device Administrator 选中恶意软件。
3，最后Settings --> Apps --> Uninstall 就可以卸载了。

源地址

http://research.zscaler.com/2015/10/infostealer-apk-posing-as-microsoft.html

http://research.zscaler.com/2015/09/more-adult-themed-android-ransomware.html

本文作者：月尽西楼，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）