超级手机病毒“XX神器”揭秘:小菜一碟
8月2日,一条新闻打破了原本浪漫的七夕节,包括央视在内的各大媒体都在报道一个名为“XX神器”的手机病毒大规模爆发,感染用户以十万计,并且宣称这款软件会自动窃取用户的通讯录并向通讯录内联系人发送带有病毒链接的短信,甚至还用了“以几何倍速扩散”这样极具视觉冲击力的词汇。
不过随着事件的逐步进展,网上开始有了一些不同的声音,很多人开始质疑这件事情的始末,于是乎一个湿乎乎的话题“XX神器到底算不算病毒”诞生了。
XX神器到底算不算病毒
先来回顾一下这件事情的进展,从媒体曝光之后,三大运营商立刻对带有“http//cdn.yyupload.com/down/4279193/XXshenqi.apk”的短信进行了拦截,并对该恶意软件的传播域名和IP地址进行紧急封堵(放心,我已经测试了那个地址,目前该地址已经失效)。而深圳警方在接到报案的当天,就通过反编译的手段将XX神器的作者,19岁的中南大学软件系大一学生抓获。
这件事情原本至此应该告一段落了,不过显然互联网上的人们耐不住寂寞,对于事件背后的故事展开了更深层次的挖掘。
“其实XX神器这东西根本就不算病毒。”
刘少(为了保护当事人,名字为化名),目前就职于百度,从事编程开发工作,也就是很多人眼中的“程序猿”,上面这句话是他跟我说的。
在2号看到新闻之后,刘X凭借自己敏锐的嗅觉(其实就是职业病)下载了该程序并进行了安装。他发现这个软件的传播方式和运行模式都及其的“傻瓜”,同时程序在运行时,调用的权限根本就没加任何的“掩饰”。
刘X之所以认为这并不能被称之为病毒的原因是在整个的操作过程中,从下载软件,到安装软件,再到运行软件这一系列的动作都是用户主动完成的,而在软件运行的过程中,XX神器的隐蔽性很差。同时他还表示,这是一个极其简单的程序,实际上只要是写过比较完整的Android程序的开发者,复制一个“XX神器”是很简单的事情。
同时刘X还指出,XX神器通过短信传播,其中cdn的网址以及apk的后缀名已经明确的告诉用户这是一个指向分发网络的存在潜在威胁的Android安装程序的下载链接,明眼人一看就明白,目前很多的类似传播方式的病毒基本上都会用短链接的形式替代原有链接,以保证隐蔽性。从XX神器的传播方式来看,很明显作者是个“新手”。
事实也是如此,在XX神器的作者李某被捕后,XX神器的源代码被曝光,其中作者手机号、邮箱帐号密码、QQ号等都以明文的形式编写在代码中,足以看出这是一个及其简陋的手机程序,更有媒体以“半成品”来形容它。
那为什么在专业人士眼中相当简单甚至是小儿科的“XX神器”竟然能在短短的几天时间内造成了大范围的传播并致使数十万手机用户受害呢?
为何会传播?
很简单,XX神器选择了一个正确的平台,正确的利用了人际关系在一个正确的时间发布,这些“正确”成为了这个半成品席卷移动网络的真正原因。
腾讯安全管家的安全专家分析说,类似这种以短信下载链接方式传播的恶意软件,在安全管家以往检测的手机病毒中经常出现。“XX神器”这款病毒,用户收到短信的下载链接,由于短信中含有用户通讯录中好友的名字,并且在七夕节日发送,降低了用户的警惕,致使短时间内进行了大规模的感染。
随着Android智能手机的普及,智能手机的用户开始向着普通用户渗透,这些用户大多数没有相关领域的知识和经验,无法有效的辨别哪些是恶意程序,加之XX神器本身是通过短信传播,传统的传播途径不受网络的制约,使得一些年纪偏大或者年龄偏小的用户更容易中招。
当然,在每一次的病毒爆发之后,总会有一些安全厂商“事后诸葛亮”的第一时间跳出来说我们的产品已经在第一时间获取了病毒样本并更新了病毒库,大家只要安装了我们的软件就能确保万无一失,比如XX神器事件之后的瑞星。
根据李某的同学透露,XX神器实际上只是李某刚刚接触Android编程之后的一个测试品,但让李某没有想到的是这个程序在测试群发出去之后,没能得到有效的控制,致使病毒席卷全国。
手机安全软件是否有必要?
仅仅是这样一款不起眼的恶意程序,就让移动互联网中的智能手机遭受到了如此大的威胁,不得不说目前Android系统存在很大的隐患,而用户在防范意识上也相对欠缺。考虑到大家迫切想知道平时在使用手机时应该注意哪些问题,对此,腾讯数码第一时间采访了包括LBE安全大师CEO张勇在内的一些国内手机领域的安全专家,给广大机友们提些建议。
很多朋友其实都经历过一些类似恶意应用的攻击,轻则资料泄露、损失话费,重则系统崩溃,那么安装手机安全软件是否有必要呢?对此张勇表示,相比苹果而言,目前Android系统的安全性其实更加引人担忧,主要容易在进程、权限上出问题。安全软件的必要性也要分开来说。
对于目前主流的智能手机操作系统来说可分为两方面。像iOS和WP这种闭源系统本身非常封闭,用户只能通过官方的App Store(MarketPlace)来下载手机应用,这里对于应用的审核相对比较严格,虽然不排除有恶意软件,但风险较小,同时iOS和WP对于软件权限一视同仁,安全软件无法获得系统最高权限也就无法做更多的事情,所以安装安全软件没有太大必要。
“比较而言,Android系统相对复杂,系统开源同时支持安装未知来源的应用,所以存在风险更大。通过互联网上各种病毒统计,相信用户也能够感知到目前大多数应用的威胁都出自Android系统。”张勇说到这里显然有些见怪不怪。
Android系统的用户权限提醒只会出现在用户安装软件时。如果用户安装了,就相当于用户默认了软件所请求的权限,应用在使用这些权限时都是不会提示用户的。这就需要用户安装安全软件来进行防范,目前的第三方安全软件大部分都具备了应用权限管理功能,也就是说应用在使用到一些敏感权限时,比如读取通讯录、发送短信、读取用户位置信息等,安全软件会先提示用户,给用户主动选择的机会。不过绝大多数的安全软件要使用权限管理的功能都需要用户Root手机,这也会带来一定的风险。
所以对于安卓手机来说,轻度用户可能就仅仅安装个微信、微博,并不会Root手机。只从官方网站下载一些知名应用,不去论坛或者第三方应用市场下载应用和游戏的话,是相对安全的,不需要安全软件,因为安全软件在没有高权限的情况下也没有防范能力。而对于手机的重度用户来讲,手机经常刷机、Root,不断尝试各种来源的新应用,那么使用安全软件加以防范是非常必要的。然而张勇还是特别建议用户应在正规渠道下载应用。
其实之所以会有安全问题,是因为有漏洞的存在。而智能手机遭受攻击主要就是被利用了系统中的漏洞。不管是Android还是iOS还是WP都有系统漏洞。iOS系统上曝光的漏洞甚至比Android还多,我们熟悉的越狱就是通过iOS系统的漏洞获取权限从而拓展功能。目前iOS、Android和WP都无法像Windows那样通过更新系统补丁来达到修复系统漏洞的效果,所以建议用户尽量把手机固件升级至最新版本,来修复系统漏洞。
这个问题在Android系统上很常见,由于Android系统固件是由手机厂商负责升级的,一些出厂年份较早的手机就会被忽略,因为系统得不到更新。此时一些已经曝光的漏洞就会暴露在恶意软件面前,造成用户的隐私泄露和财产损失。对此,我们除了呼吁厂商给用户升级外,用户也只能自己加强防范意识来降低威胁的可能性。如果手机中真的存在恶意插件,通过安全软件里分析应用的行为特征来扫描判断是比较简单可行的办法。
以下五点必须要警惕:
访谈的最后,张勇也对广大消费者如何安全的使用智能手机提出了建议,主要分为以下几个方面:
1、安装APP时一定要把控隐私权限,iOS这方面比较安全一些,Android相对复杂,用户需要有意识关注应用权限,一般的安全软件都可以帮忙扫描恶意进程。
2、定期升级系统和第三方应用,这样可以封堵其中存在的漏洞。不过也要考虑设备的承受能力,比如iPhone4升级iOS7就得不偿失,系统会非常卡顿。新版本也可能会存在BUG,这点也要权衡。
3、一般情况下尽量别刷机、Root或者越狱等,越狱后应用可以完全获取你手机的权限,这风险很大,很容易受到攻击。
4、如果你有非常重要的资料,最好别上传到云端。因为数据同步到云端相当于把用户隐私暴露给了云存储服务的提供商,所以定期本地备份仍然是个好习惯。
5、手机支付时连接公共WiFi要谨慎。一般在使用恶意的公共WiFi时,用户账户信息、验证信息都有可能被WiFi截获,这可能会造成损失。因此一定找信任的WiFi网络连接。
【责任编辑:靳静波 】