新的Android手機風險軟體(Riskware)現身,能偷取用戶的IMSI識別碼
如果你是Android的手機用戶,最近下載來路不明的星座占卜、農場遊戲、寵物遊戲、農曆行事曆等應用程式的時候,要注意一點,小心它是「風險軟體」(Riskware)
--
作者:F-Secure Threat Solutions 團隊
目前,中國的Android手機用戶正遭遇到一些來自風險軟體(Riskware)的威脅,大部分這類型的風險軟體,其軟體名稱及種類都相當地多樣化,例如星座占卜、農場遊戲、寵物遊戲、寵物資訊、農曆行事曆等。上面這張手機畫面的截圖,就是我們從其中之一的風險軟體擷取下來的,你可以看見,畫面中正顯示著應用程式安裝時的授權請求。
這些風險軟體的實際功能,有些根本與其宣稱的不相符合,使用時甚至還會整個當掉(Crash),這可能也跟軟體本身也沒有寫好有關係。但無論它有沒有當機,在軟體當機之前,這些風險軟體會擷取用戶手機的 IMSI(國際行動用戶識別碼),並且企圖外連到以下網站。
• http://mobile.tx.com.cn:[...]/client.[...].do
• http://mobile.tx.com.cn:[...]/client/[...].do
軟體會將IMSI的資訊傳送到這個網站(備註:我們在寫這篇文章的同時,這個網站還進得去),如果軟體無法存取這個網站的話,或是網站出現錯誤訊息,那麼軟體將會自動發送簡訊出去。軟體會自己找出手機用戶的識別碼,接著依據擷取到的資訊,從不同的接收電話號碼中挑選,接著傳出簡訊。簡訊的內容格式如下:
• 99# [ IMSI ]#android#[ app_specific_string ]
直到現在,我們都還在調查這支程式背後行為所代表的含意,正在確認這是否是另一個誘騙手機用戶使用收費服務的簡訊詐騙程式。不過,我們能夠確定的是,這支程式可以未經手機用戶同意,自動傳送含有手機IMSI資料的簡訊出去,一般用戶根本難以發現,基於這點,這支程式就相當令人感到不舒服了。
因此,我們將這些應用程式判定為風險軟體,並命名為「Riskware:Android/MobileTX.A」。
來源:新的Android手機風險軟體(Riskware)現身,能偷取用戶的IMSI識別碼 | F-Secure 芬安全-資安部落格