安卓远控木马黑色产业链渐成气候，谨防手机变“肉鸡”

木马特征
安全建议
结语
扩展阅读

作者：申迪

最近，国外接连爆出若干安卓平台的远程控制木马，这些木马被植入用户的手机之后，接收服务器的指令进行隐私窃取。攻击者在Web管理页面可以方便的针对每个人下发不同的控制指令。而值得注意的是，一款名为Dendroid的木马在国外的黑市中以300美元售卖，接收比特币或莱特币支付。木马购买者享受的服务包括apk木马软件本身，一套WEB管理页面，以及7X24小时的客户服务。此外，作者还提供软件捆绑服务，购买者可以将木马捆绑在正常软件中，绕过了一些无严格人工审查的应用市场审核，将木马通过市场分发。据了解，该木马甚至曾在国外某些知名市场上架。这表明远控木马的黑色产业链已经形成，众多手机用户面临可能沦为“肉鸡”的风险。

目前，360手机卫士已经可以查杀此类木马，同时建议用户使用360手机助手安装软件，避免此类木马的侵袭。

木马特征

后台地址被写死在程序代码中，解密后是http://friendclub.im/dendroid 后面的几个PHP是后台的信息上传接口。

地址采用了**Base64**简单加密

然后管理后台是要求登陆密码的，虽然没有登陆权限，但是还是从木马作者的销售广告中看到的功能强大的管理后台截图。是不是有点像PC时代远控木马的界面？

木马销售广告中展示的管理页面

从代码中，可以看到木马循环获取服务端的控制请求

木马支持的指令多达数十条：

mediavolumeup

mediavolumedown

ringervolumeup

ringervolumedown

screenon

recordcalls

intercept

blocksms

recordaudio

takevideo

takephoto

settimeout

sendtext

sendcontact

callnumber

default

openwebpage

updateapp

promptupdate

uploadfiles(Audio/Videos/Pictures/Calls)

changedirectory(Audio/Videos/Pictures/Calls)

getbrowserhistory

getbrowserbookmarks

getcontacts

getinboxsms

getsentsms

deletesms

getuseraccounts

getinstalledapps

httpflood

openapp

opendialog

uploadpictures

setbackupurl

transferbot

这数十条指令包括了拍照、通话窃听、短信窃取、浏览器历史记录窃取，还有通信录、照片、视频等手机文件窃取，甚至还可以被用来做DDoS攻击的节点。还包含一系列诸如调整音量、解锁、弹出网页等控制命令。至此，手机彻底沦为攻击者的肉鸡。

另外代码中还包含了简单的沙箱检测：

由于一些应用市场仅使用沙箱来进行高危行为检测，使用以上代码可以绕过一些简单配置的沙箱环境。而360手机助手中的软件全部采用静态扫描、动态沙箱、人工检测相结合的方法，能够保证用户安全下载应用。

安全建议

– 仅通过360手机助手安装应用，确保安装应用的安全

– 安装360手机卫士作为手机端的安全软件，确保手机系统不受恶意木马侵袭

结语

随着智能手机的普及，越来越多曾被用于电脑的攻击形式被应用于移动平台，这一次以Dendroid、iBanking Mobile Bot为代表的工具型远程控制木马也开始流行起来。另一方面，售卖安卓木马的黑色产业也悄悄浮出水面，将有更多的人参与到安卓木马传播当中来。我们将会持续关注这一类木马的发展趋势并提供解决方案。