安全公司賽門鐵克在自己的官方博客上發(fā)表文章，稱首度發(fā)現(xiàn)6款因?yàn)锳ndroid“主密鑰”漏洞而受到感染的應(yīng)用，均來自中國，且為同一攻擊者，但是博客并未透露具體是在哪個(gè)應(yīng)用市場(chǎng)發(fā)現(xiàn)的。

這種所謂的“主密鑰”漏洞即是本月早些時(shí)候移動(dòng)安全公司 Bluebox披露的一個(gè)威脅99%Android設(shè)備的漏洞。該漏洞可令黑客在不改變應(yīng)用密鑰簽名的情況下篡改 APK（安裝包）代碼，從而讀取設(shè)備上任意手機(jī)應(yīng)用的數(shù)據(jù)（電子郵件、短信、文檔等），獲取保存在手機(jī)上的所有賬號(hào)和密碼，接管并控制手機(jī)的正常功能。

雖然此后Google已向OEM提供威脅99%Android設(shè)備安全的漏洞補(bǔ)丁，但是由于 Android 的碎片化，Android 設(shè)備制造商和移動(dòng)運(yùn)營商不是很經(jīng)常進(jìn)行更新，以及眾多第三方應(yīng)用市場(chǎng)對(duì)應(yīng)用上架的鑒權(quán)工作不到位，給Android設(shè)備帶來很多安全隱患。

賽門鐵克在博客中稱惡意代碼是由Norton Mobile Insight發(fā)現(xiàn)的。Norton Mobile Insight是賽門鐵克的一款自動(dòng)從各個(gè)應(yīng)用商店收集和分析Android應(yīng)用的工具。迄今為止，Norton Mobile Insight共發(fā)現(xiàn)了6款被感染的Android應(yīng)用，均為中國應(yīng)用市場(chǎng)上發(fā)現(xiàn)，且攻擊者為同一人，被發(fā)現(xiàn)的受感染應(yīng)用被命名為Android.Skullkey。

受感染應(yīng)用截屏

從賽門鐵克博客提供的截圖來看，這6款受感染應(yīng)用的其中兩款為“醫(yī)生預(yù)約”、“我的工作站”，隨后博客又更新了4款受感染應(yīng)用，但并未給出應(yīng)用名稱，只說是分別為一款流行的新聞應(yīng)用、一款街機(jī)游戲、一款紙牌游戲以及博彩應(yīng)用。

賽門鐵克稱，攻擊者對(duì)上述應(yīng)用注入了惡意代碼（具體是哪些應(yīng)用市場(chǎng)上的未透露），可令其遠(yuǎn)程控制設(shè)備，盜取諸如手機(jī)串號(hào)（IMEI）、電話號(hào)碼等信息，并會(huì)向手機(jī)通信錄的所有人發(fā)送指向hldc.com（目前該網(wǎng)站域名為待售狀態(tài)）的鏈接，此外如果用戶手機(jī)安裝了國內(nèi)的殺毒軟件，惡意代碼還會(huì)利用根權(quán)限屏蔽這些殺毒軟件。

惡意代碼片段

賽門鐵克稱攻擊者利用此漏洞各增加了兩個(gè)與原安裝包內(nèi)含文件同名的文件，分別為classes.dex（包含有應(yīng)用代碼）和AndroidManifest.xml（指定權(quán)限），以此來篡改應(yīng)用。

對(duì)于此類病毒的防范，賽門鐵克建議只從出名的Android應(yīng)用市場(chǎng)下載應(yīng)用，并利用殺毒軟件掃描安裝應(yīng)用保護(hù)安全。