美图欣赏 | 设为首页 | 加入收藏 | 网站地图

当前位置:电脑中国 > 网络 > 病毒与查杀 >

关于利用刷机方式植入“手机预装马”进行用户信息窃取的情况通报

2018-10-16 12:06|来源:未知 |作者:dnzg |点击:
2013年CNCERT监测发现一起利用刷机方式向手机植入“手机预装马”,进而窃取用户信息的典型案例。截至2014年1月全国范围内感染该“手机预装马”的受害用户达216万,不规范的手机刷机行为已经严重威胁到了移动互联网环境的生态健康,移动互联网“白名单”机制将势在必行。具体情况通报如下:  
一、恶意程序介绍  
CNCERT接到网民投诉,称其在电商“1号店”购买的联想A820T手机中存在预装的手机病毒。CNCERT在收到投诉后,及时对网民手机进行了取证调查。  
通过取证分析,CNCERT发现该手机中存在一例伪装成安卓系统服务“SystemScan”的应用程序,该应用程序在用户不知情的情况下通过后台窃取用户手机号码、IMEI号、IMSI号、用户联网IP地址、用户手机当前位置信息、用户手机上所有已安装的应用程序信息以及当前系统运行任务信息等,并将窃取到的用户信息进行压缩后上传到远端服务器。该远端服务器所使用的域名为cui9.com,相应的服务器IP地址为123.103.63.37,123.103.63.43。  
依据通信行业标准YD/T2439-2012《移动互联网恶意程序描述格式》判定该应用程序属于“信息窃取”类恶意程序,将其归入“A.Privacy.TunkooScan”恶意代码家族中,并将该恶意代码家族的中文名称命名为“手机预装马”。  
二、恶意程序传播和处置情况  
CNCERT通过调查取证,发现投诉者在“1号店”所购联想A820T手机所预装的应用程序与正版联想A820T手机中预装的应用程序并不一致。由于正版联想A820T手机中并未预装名为“SystemScan”的手机预装马,因此手机预装马系手机出厂后通过二次刷机方式植入手机。
(责任编辑:dnzg)
新锦江娱乐 关闭广告
新锦江娱乐 关闭广告