【编辑】手机病毒”XX神器”分析

——网络病毒防治技术作业

（注：代码分析部分来源于网络）

前言

2014年8月，腾讯手机管家率先发现了这款名叫”XX神器”（”XX神奇”）的安卓手机病毒。

由于”xx神器”可通过读取用户手机联系人，并将内容为

“XXX(手机联系人姓名)看这个http//cdn.yyupload.com/down/4279193/XXshenqi.apk”

的短信发送至手机通讯录中的联系人的手机，短信中包含下载链接。由于短信中含有用户通讯录中好友的名字，并且在节日（”七夕”）发送，降低了大家的警惕，从而导致被该病毒感染的手机用户数呈几何级增长，遍布全国。而且该病毒可能导致手机用户的手机联系人、身份证、姓名等隐私信息泄露，在手机用户中形成严重恐慌。

 

基本情况

软件图标背景为深色调，一个大大的”X”在背景之上，再上面一层的左上角，浮着白色的命令行输入光标。这个图标很具有迷惑性，让人以为真是什么”神器”呢。

 

“XX神器”的传播主要就是通过发送的短信中的链接让用户下载，所以可想而知，它需要短信、通讯录、网络等相关隐私权限，从下图就可看出：

 

其实还不仅如此，”XX神器”作为母程序，还附带了恶意的子程序。母程序安装成功后会自动静默地发送短信到指定手机，并在运行后以提示用户需要安装资源包的方式诱导用户安装和启动子程序。而子程序安装后会主动运行并隐藏程序图标，在后台接收来自指定手机号的短信并静默发送邮件到指定邮箱。

所以从反编译出的APK清单文件中，我们可以看到，这个子程序也是需要很多隐私权限的：

<manifest android:versionCode="1" android:versionName="1.0" package="com.example.com.android.trogoogle" xmlns:android="http://schemas.android.com/apk/res/android">
    <uses-sdk android:minSdkVersion="8" android:targetSdkVersion="19" />
    <uses-permission android:name="android.permission.SEND_SMS" />
    <uses-permission android:name="android.permission.RECEIVE_SMS" />
    <uses-permission android:name="android.permission.WRITE_SMS" />
    <uses-permission android:name="android.permission.READ_SMS" />
    <uses-permission android:name="android.permission.INTERNET" />
    <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
    <uses-permission android:name="android.permission.READ_CONTACTS" />
<uses-permission android:name="android.permission.WRITE_CONTACTS" />

其中”RECEIVE_SMS”就是接收短信的权限，另外三个带”SMS”的也都是短信相关权限，相比母程序只有发短信的权限，子程序由于更加隐蔽所以也就更加肆无忌惮了。

 

分析

XX神器安装成功后会私自静默遍历手机中的联系人列表：

 

并发送安装成功的短信指令”XXshenqi 群发链接OK”到指定”18670259904″的手机号码：

Smali代码（apk文件反编译可得到Smali文件，进而用工具可得到粗略Java代码）定位：

 

启动程序后会提示用户安装资源包：

相关代码如下：

 

当子包安装成功后，主程序会再次私自静默发送子包安装成功的短信”Tro instanll Ok”到指定手机号：

 

子程序安装成功后会自动启动并隐藏程序图标：

 

子程序接收来自”186xxxx9904″手机号的短信：

 

子程序收到短信后，私自发送短信到指定手机号”186xxxx9904″及指定邮箱”137736513@qq.com“：

 

 

该木马程序主要目的是获取用户手机中的通讯录等隐私信息，并通过短信以及邮件方式发送到指定号码和邮箱中。执行过程总结如下：

1、安装主程序后，主程序首先遍历手机通讯录和短信列表，并发送安装成功的短信到指定号码；

2、诱导用户安装子程序包；

3、子程序安装成功后，主程序会再次发送子程序安装成功的短信到指定号码；

4、子程序接收从指定号码发送的短信指令，子程序通过短信和邮件的方式将手机中的短信和联系人发送到指定号码以及邮件中。

 

相关讨论

“其实XX神器这东西根本就不算病毒。”——鉴于这个软件的传播方式和运行模式都及其的”傻瓜”，目前就职于百度的一位刘姓程序员如是说。

刘认为，在整个的操作过程中，从下载软件，到安装软件，再到运行软件这一系列的动作都是用户主动完成的，而真正的恶意程序——木马、病毒等，可能就会更”暴力”一点了。而且，无论在软件的传播还是在软件的运行过程中，XX神器的隐蔽性都很差，比如，在传播的短信中，CDN的网址以及apk的后缀名已经明确的告诉用户这是一个指向分发网络的存在潜在威胁的Android安装程序的下载链接，明眼人一看就明白，目前很多的类似传播方式的病毒基本上都会用短链接的形式替代原有链接，以保证隐蔽性。

可以看出，此软件的作者还是个”新手”，他甚至将手机号、邮箱帐号密码、QQ号等都以明文的形式编写在代码中，这也导致了他最终毫无悬念地被捕了。这个XX神器的作者，是一位19岁的中南大学软件系大一学生，根据李某的同学透露，XX神器实际上只是李某刚刚接触Android编程之后的一个测试品，但让李某没有想到的是这个程序在测试群发出去之后，没能得到有效的控制，致使病毒席卷全国。

从另一方面看，李某也是因为热爱编程，喜欢动脑子，才做出此举的。不过，犯了做事不考虑后果的错误。此事件发生，虽不至于毁了他的一生，到至少对人生产生了阻碍。另外，学校方面，在教学的同时不注意道德与风险方面的教育，也是难辞其咎的。

 

防范

虽然，这个”XX神器”在稍微专业一点的人看来，没什么技术含量；软件的恶意也不大，对用户造成的直接损害没有多大。但是，隐私被泄露还是让人担心的，而且此时不亡羊补牢，谁知道今后会不会又来个愣头青搞出个什么”YY神器”来呢。所以，我们因借此机会，好好提高一下安全防范意识。

以下是几点建议：

    1、不要轻易打开手机短信中的链接，如果发现是熟人发来的，也别嫌麻烦，可以先问问是什么；

    2、如果不小心点击了链接，发现没有任何说明直接开始下载东西，请马上设法终止；

    3、当然，有时来不及终止就已下载结束了，并弹出安装界面，此时无论看上去多么诱惑，都请点击”取消”；

    4、下载软件请到知名的应用市场下载；

    5、打开手机系统中的安全功能，或者使用第三方安全软件；

    6、万一已经”中毒”，尝试使用杀毒软件，必要时恢复出厂设置，甚至刷机。