Kaspersky 早前在 Google Play Store 发现两个恶意 Apps “SuperClean” 和 “DroidCleaner”,最特别之处是它们可一并影响桌面电脑。
这两个恶意 Apps 其实是同一个恶意程式,只是两个包装而矣。它们声称可为手机优化,但实际是古惑有问题的,若将受影响手机连接电脑,桌面电脑也可能受影响。
这两个 Apps 已经被下架,但它的操作方式较特别,在这里跟大家讲解一下。
在 SD Card 加入 autorun.inf
安装并运行 “SuperClean” 和 “DroidCleaner” 后,它会列出正在运行的程序并会重新启动它们,这都是正常的。但之后就会从远端服务器下载三个档案并储存至 SD Card 的根目录内。
– autorun.inf
– folder.ico
– svchosts.exe
有了 autorun.inf 档案,若将手机连接至电脑时,电脑就会被自动执行 svchosts.exe 档案,它就会开启电脑的咪高峰进行录音,并将录音上传至远端服务器。除了录音,它还有其他的 “功能”。
Sending SMS messages
Enabling Wi-Fi
Gathering information about the device
Opening arbitrary links in a browser
Uploading the SD card’s entire contents
Uploading an arbitrary file (or folder) to the master’s server
Uploading all SMS messages
Deleting all SMS messages
Uploading all the contacts/photos/coordinates from the device to the master
这个恶意 App 古惑之处是为 SD Card 加上 autorun.inf,当手机接上电脑时,若电脑容许 Autorun 自动执行,恶意程式就可运作。
要防范,可将电脑内 Autorun disable (新的 Windows 默认都是 disable 的)。另外,亦可检视一下手机 sd card 根目录内有否任何不明档案如 autorun.inf, .exe 档案。
资料来源: securelist
