趨勢科技最近分析了一隻針對中國移動用戶的Android惡意軟體，中國移動是一家被認為是世界上最大行動電話運營商的電信國有企業。

惡意軟體經由簡訊內的連結散播。這封簡訊告訴中國移動用戶透過簡訊內的連結可以幫他們在有漏洞的設備上安裝補丁，但實際上卻是下載惡意檔案。

這個被偵測為ANDROIDOS_TCENT.A的惡意軟體會在感染手機上蒐集特定資訊，像是IMEI號碼，手機型號和SDK版本。接著，它連到一個特定的網址去下載一個XML配置文件。研究了這配置文件的內容後，我們發現類型標籤和它的值跟這惡意軟體的運作相關聯。

我們可以推測出標籤內的值代表什麼功能。像<regport>標籤包含了當惡意軟體拿到受感染手機的IMEI號碼後，要送簡訊過去的號碼。

在<pbreceport>裡的號碼是中國簡訊服務商的號碼（1062，1065，1066），也包括中國移動的服務號碼（10086）。惡意軟體會監控所有上述號碼送到這手機的簡訊並加以刪除，以防止用戶看到。這可以防止用戶發現惡意軟體發送簡訊到這些簡訊服務商。

根據其運作模式，這惡意軟體會試圖向用戶隱藏自己，所以它安裝之後並不會在手機螢幕上出現圖示，這點跟其他先前公佈的Android惡意軟體並不相同。唯一可見的中毒證據是在手機的記憶卡內會出現一個命名為”Tencent”的資料夾。資料中包含惡意檔案​v1.log和smsConfig.xml。

我們還觀察到惡意軟體代碼中有啟用除錯模式，這可能意味著攻擊仍然處於試驗階段，很可能在未來還會出現改良過的版本。

如果用戶的手機已經被這惡意軟體感染了，可以照著趨勢科技 病毒百科內ANDROIDOS_TCENT.A的病毒報告來進行手動移除。

安全更新僅僅是眾多網路駭客用來偽裝並說服用戶在其Android設備上執行惡意檔案的方式。我們已經看到許多Android惡意軟體會偽裝成遊戲，媒體播放器，甚至是資安軟體的形式出現。想要了解更多相關威脅，請參考假軟體對Android用戶的影響。

@原文出處: Android Malware Targets China Mobile Subscribers

＠延伸閱讀

手機病毒一覽表

Android 正常應用程式被木馬化

Google Android 上木馬應用程式清單

資訊安全工具遭木馬化而淪為後門程式

手機板 ZeuS 行動中

行動 IT 平民化：「風險與報酬」

[ 雲端運算與網路安全 ] Android 手機：行動裝置之《英雄本色》

Android惡意程式透過第三方應用程式店舖散播

歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2011即刻免費下載