俄罗斯安全公司Doctor Web,已经检测到了一个名为”Android.Pincer.2.origin”的恶意软件。该公司表示,该恶意应用是Android.Pincer家族的第二代产品,两者皆是通过安全证书来传播的。这也意味着,只有粗心大意的用户”故意”把它安装上,才会被感染。一旦安装之后,该恶意软件就会拦截用户的短信并偷偷地转发给犯罪分子。如果短信是被用来确认网易银行交易等敏感信息,其风险将非常之大。
启动Android.Pincer.2.origin后,用户将会看到一个有关证书安装成功的假通知。但在那之后,该木马将在一段时间内不会表现出任何的活动迹象。
该恶意软件将会通过CheckCommandServices开机自动启动,并在后台静默运行(参看上图)。它会连接到远程服务器并发送受攻击移动设备上的下述有关信息:设备型号、序列号、IMEI、运营商、电话号码、默认系统语言、操作系统、以及可利用的root账户。
该恶意软件会通过以下格式的指令发送信息:
start_sms_forwarding[telephone number] - 指定号码,拦截短信
stop_sms_forwarding - 停止拦截短信
send_sms[phone number and text] - 使用指定的参数发送短信
simple_execute_ussd - 发送ussd
stop_program - 停止
show_message - 在屏幕上显示一条信息
set_urls - 改变控制服务器地址
ping - 指定的号码短信包含pong
set_sms_number - 改变发送短信的号码
值得庆幸的是,Dr.Web表示Pincer2是不太可能流行开来的,因为Google Play上也找不到它。该恶意软件更像是会被用于精确的攻击。
