Android 惡意軟件又出現！漸變成惡意軟件集中地

又有另一個利用「Rage Against The Cage」的Root Exploit出現，為Android帶來另一個新的惡意軟件。F-Secure 在一個樣本中找到這個惡意軟件，並辨認它為Trojan:Android/DroidKungFu.A。

這個新的惡軟軟件植入了一個木馬程式，同時可能需要Root權限來掩飾自己。這種感染發生在兩個部分：

感染：第1部分

第一部分，是在安裝木馬程式時獲取 Root權限，並安裝一個名為com.google.ssearch的應用程式。這個應用程序其實是把用戶指向Trojan:Android/DroidKungFu.A木馬軟件的其中一個組件，並會啟動另一個名為 com.google.ssearch.Receiver的服務。之後，它會執行一個名為 getPermission()的功能，並安裝一個嵌入式的APK。

它會執行checkPermission()以檢查com.google.ssearch.apk是否已經存在。如果未存在，它便會安裝一個APK的檔案到 system/app 的應用程式資料夾。

感染：第2部分

第二部分涉及com.google.ssearch.apk這個關鍵惡意軟件組件(我們還記得這一組件之前也出現在另一些木馬應用程式)。

惡意軟件似乎有一個「後門」(Backdoor)功能。下面是它的其中一些功能：

– execDelete –執行將文件刪除的命令
– execHomepage -執行打開網頁的命令
– execInstall – 下載和安裝所提供的APK
– execOpenUrl – 打開一個URL
– execStartApp – 運行或啟動一個應用程式

Trojan:Android/DroidKungFu.A還可以獲取以下資料，並發佈到遠端伺服器：

– IMEI – 手機的IMEI號碼
– ostype -版本，例如，2.2
– osapi – SDK版本
– mobile – 用戶的手機號碼
– mobilemodel – 手機型號
– netoperator – 網絡運營商
– nettype -網絡連接的類型
– managerid – 一個名為“sp033”的編碼
– sdmemory – SD卡的可用記憶體大小
– aliamemory – 電話的可用記憶體大小

Root被設置為 1，然後以上這些資料會被傳送到「http://search.gong […]. php」。惡意軟件會先傳送「imei」、「managerid」及Root數值到伺服器，然後從伺服器取得要繼續執行的指令。之後，惡意軟件會傳送「imei」「tasked」、「state」和「comment」到「http://search.gong […]. php」，以報告指令的執行結果。