CM(Clean Master)Security 安全實驗室針對台灣 Android 智慧型手機用戶,發出病毒警訊通知,目前該病毒的擴散範圍超過 80 萬條短訊和近 7.5 萬筆聯絡人資訊。擴散速度從四月中旬的 2-3 天一次的狀況,在 5 月份開始更是每天出現新變種,甚至一天發佈數次更新,呼籲 Android 手機用戶提高警覺。
使用者收到的簡訊內容包含以下內容或相似內容:
「OOO先生,【宅急便】 您的快遞通知單,收件簽名電子憑證 htttp://goo.gl/OOO(後面附上為 Goo.gl 短網址)」
根據安全實驗室回報,倘若用戶不慎點擊病毒簡訊所附連結,便會啟動 Android 病毒程式自動下載程序,待下載完成後,除將造成攻擊者透過手機小額付款機制漏洞詐取手機用戶財物外、同時將攔截所有未讀取簡訊,導致重要資訊遺失。
病毒簡訊內容由病毒作者遠端控制,誘導性極強。病毒發送的部分簡訊可以啟動小額付款服務,將導致中毒用戶的財物損失。點擊簡訊中所附連結將啟動 Android 病毒程式(副檔名為 .apk)下載程序,且該病毒程式不會在手機桌面產生任何圖示,因而難以察覺。
圖 2:真正的宅急便簡訊是不會有網址的噢!
黑貓官網也已經聲明,所有真的宅配通知的簡訊,是不會有任何網址的,所以如果接到此簡訊,請不要任意點開聯結喔!此外,攻擊者可以對已經中毒的手機,遠端取得該手機用戶的連絡人資料,對連絡人發出同樣的內容簡訊,進行病毒擴散。此一特性致使該病毒可於短時間內發送大量簡訊,目前台灣列入重災區。
台灣各電信商提供的小額付款機制,用戶只需簡單回覆簡訊認証碼,即可進行網路購物,同時完成付款程序。駭客看準台灣小額付款機制的漏洞,任一用戶受騙下載安裝此病毒,駭客便會立刻使用此手機門號進行網路購物,並利用電信商小額進行付款,用戶收到帳單時才會發現此筆交易。
根據中華電信 839 小額付費機制,其認證額度最高每月可達 6,000 元。詐騙的網路購物商品多半為線上遊戲點數卡或虛擬商品,也是最容易讓駭客轉手牟利的商品類型。
由於這條簡訊偽裝成快遞公司員工號碼或好友號碼發出,對於警覺性不高的用戶極易中招。根據分析,此 Andriod 手機病毒具備以下特性:
1. 攔截所有未讀手機簡訊,並將簡訊內容上傳至位於俄羅斯的某台伺服器(IP地址:141.105.65.244,這台伺服器可能是駭客控制的殭屍電腦)。病毒每隔一分鐘便會取得位於俄羅斯的遠端伺服器所下指令,將宅急便簡訊病毒主動發送給中毒手機裡存放的連絡人。由於每分鐘會查詢一次網路,因此手機CPU處於定時喚醒的工作狀態,此過程中,用戶可以明顯感受到手機溫度上升,是因為持續執行於手機背景模式下。
2. 頻繁發送簡訊,或透過小額付款機制,造成中毒手機用戶資費暴增,導致財物損失。
總而言之,現在手機病毒越來越多,所以無論如何,都不要打開來路不明的簡訊網址,否則會讓你損失慘重喔!