安管课堂:谨防手机病毒匿身于知名软件中

随着Android市场的迅速发展,越来越多的知名软件被大家所熟知,我们一般也都会给予充分的信任。但殊不知,一些不良开发者已悄悄把魔爪伸过来了,当我们在市场搜索同一个软件时突然冒出来几个或几十个相似的软件,有的也充斥着破解版、免费版等软件,几乎所有知名的软件都被盗版或仿冒过。

有人可能会诧异,恶意软件的界面包括一些流程都和知名软件没什么区别啊?那么这些伪装成知名软件的病毒是如何来包装的呢?

表面上来看,确实很难分辨的。他们使用正版知名软件的图标、名称、甚至是代码。不同的是,盗版软件巧妙的在原有代码的基础上进行篡改或内嵌恶意代码块,这样既不会破坏原来的应用界面和功能,又能悄无声息的达到自己的目的而不引起用户的怀疑。

如下面一款名为“搜狐视频”的软件,图标、界面和官方版本没什么区别。但当安装进入后,会弹出如下通知框,选择一种方式打开,却弹出一个“激情影院”的软件安装界面。

同时在sd卡里会多出一个为zanDownLoad的文件夹,从代码里也能看出此文件夹里名为“jiqingyingyuan_v0.8.0_的软件为静默下载的软件。

我们本来想单纯的看看视频,放松放松、减减压,殊不知却被病毒利用,后台下载未知软件大量消耗流量,着实让人苦恼,若下载恶意软件或窃取隐私信息岂不是造成的损失更大。
    另一款名为“搜狗地图”的软件,会无提示私自获取手机IMEI、Mac地址、手机型号等隐私信息,并上传到指定服务器,导致用户的隐私泄露。如果用户手机内没有安全检测功能或者没有安装安全软件,那么对这一系列行为不会有任何察觉。简单的比较下官方的和该病毒的代码结构:
官方代码结构如下图(左)
该病毒软件代码结构如下图(右)

显而易见,盗版软件代码结构中比正版软件多出红框标记的代码,红框标记的就为内嵌的恶意代码块,这就是所谓的内嵌恶意代码块或恶意篡改的手法。

随着android平台的日趋成熟,一些优秀的软件如雨后春笋,成为手机上一道亮丽的风景。但越来越多的不良开发者正利用这些优秀的软件,进行代码的恶意篡改、病毒的伪包装,看似“信赖”的软件实际上却暗藏风险。知名的正规优秀软件一般是不会私自下载软件、恶意扣费、上传用户隐私等恶意行为的。

安全管家这里提醒用户,当您进行安装任一款软件,尽量选择正规下载渠道,发现手机软件有不正常的行为时,要检查是否是正版软件或者去官网等进行重新下载,提高警惕,提升安全意识,以免遭受不必要的损失。

雷锋网原创文章,未经授权禁止转载。详情见转载须知

安管课堂:谨防手机病毒匿身于知名软件中

(完)