計算機安全人員試圖通過追蹤Android市場應(yīng)用惡意軟件的“數(shù)字指紋”，找出惡意攻擊是如何形成的以及如何達成目的。

谷歌表示在上周二晚刪除惡意程序之前，共有58個“受感染”應(yīng)用上傳到Android市場，并被26萬左右的設(shè)備下載。谷歌發(fā)言人說，目前還不清楚有多少用戶啟動了這些應(yīng)用程序。但激活這些應(yīng)用程序的用戶可能會面臨手機上個人數(shù)據(jù)被盜取并上傳至遠端服務(wù)器的風險，這些“受感染”應(yīng)用包括---超級吉他獨奏（Super Guitar Solo），超級條碼掃描儀（Advanced Barcode Scanner），泡泡龍（Bubble Shoot）等等。

[[19918]]

用于協(xié)助攻擊的服務(wù)器是一條潛在線索。移動安全提供商Lookout公司總裁John Hering表示，基于該公司對該事件的調(diào)查，跟蹤接受攻擊“命令和控制“指令并用于存儲被盜手機數(shù)據(jù)的服務(wù)器之后，追查到一家 位于加利福尼亞州弗里蒙特的互聯(lián)網(wǎng)服務(wù)提供商---颶風電子（Hurricane Electric）。 Hering先生說，他的公司在發(fā)現(xiàn)該服務(wù)器在攻擊中的重要作用，已于3月2日聯(lián)系颶風電子并要求該公司關(guān)閉服務(wù)器。

3月9日，颶風電子 營銷總監(jiān)Benny Ng，確認該公司位于弗里蒙特 的服務(wù)器已關(guān)閉。不過，Ng先生說，該服務(wù)器并不直屬颶風電子總部，而是下級經(jīng)銷商所有，并已通知并要求該經(jīng)銷商關(guān)閉服務(wù)器。Ng先生不愿透露經(jīng)銷商的名稱，并表示颶風電子總部不能關(guān)閉該服務(wù)器，因為它沒有登錄權(quán)限。他說，“一般情況下，經(jīng)銷商都會主動配合，他們會遵守規(guī)定，并且已經(jīng)關(guān)閉了該服務(wù)器“。

Ng先生沒有說他的公司已經(jīng)因為這次攻擊而受到有關(guān)執(zhí)法官員調(diào)查。但是，他明確表示公司經(jīng)常收到因服務(wù)器損壞而尋求相關(guān)信息 的執(zhí)法官員的傳票。

“他們想知道是誰的服務(wù)器以及他們的聯(lián)系信息，“Ng先生說。 “他們想知道費用信息，有時是某個帳戶的電子郵件或其他聯(lián)系方式。“

另一條調(diào)查人員正在追查的線索是， 一個德國安全工程師的博客。其中寫道：大約兩個軟件被黑客改變用途以創(chuàng)建Android病毒DroidDream攻擊。這位工程師沒有對評論進行任何回復(fù)。

來自電腦安全公司Veracode的首席技術(shù)官Chris Wysopal說，“他絕對是一個好人，只是對Android平臺和破解感興趣“。越獄（系統(tǒng)破解）與Android病毒DroidDream攻擊過程類似，是開發(fā)人員用來描述由一名程序員獲得手機操作系統(tǒng)完整的“根“訪問權(quán)限的術(shù)語。

Wysopal先生說，開發(fā)DroidDream的人可能是在blogspot.com的忠實讀者，具有諷刺意味的是，該網(wǎng)站由谷歌擁有。 “谷歌服務(wù)器日志中會有所有訪問過這個博客的登陸數(shù)據(jù)。“Wysopal先生說：“除了[互聯(lián)網(wǎng)協(xié)議]的地址，他們還有儲存在用戶本地終端上的數(shù)據(jù)，因此如果訪客是Blogger或BlogSpot的用戶，就可以獲得賬戶信息。“

當然，在發(fā)布這些惡意程序的開發(fā)商賬戶中也可以找到一些線索。 Reddit新聞網(wǎng)ID為Lompolo的用戶，發(fā)現(xiàn)了第一款感染RoidDream 的應(yīng)用實例，那是在他看到自己下載的應(yīng)用有一款雷同軟件之后。一款名叫 “Myournet“的應(yīng)用，是另一個合法程序的盜版。

隨后，Lookout稱又發(fā)現(xiàn)了兩個帳戶---“kingmall2010“和”we20090202“ ，發(fā)布了更多的含有同樣代碼的應(yīng)用程序。因為代碼混淆和加密，找到惡意代碼非常不容易，Hering先生說。

3月5日星期六，谷歌在博客中說，它已暫停了“相關(guān)開發(fā)者帳戶，并開始有關(guān)此次襲擊的法律程序“。

研究人員說，很難猜測此次攻擊的意圖，因為“感染”軟件在手機中下載額外的軟件時會被發(fā)現(xiàn)。不過，考慮到下載的數(shù)量和復(fù)雜的攻擊，他們推測攻擊者試圖創(chuàng)建一個僵尸網(wǎng)絡(luò)，用于發(fā)送垃圾郵件，發(fā)動聯(lián)合攻擊試圖使服務(wù)器癱瘓，或散布收集密碼和信用卡號碼的后門軟件等非法用途。

僵尸網(wǎng)絡(luò)已經(jīng)成為PC世界的現(xiàn)實，嚴重得會挾持5萬至20萬個終端設(shè)備。 安全供應(yīng)商卡巴斯基實驗室的高級研究員Denis Maslennikov，在3月3日公司博客上寫道：“能夠在設(shè)備上安裝其他應(yīng)用的能力，給病毒傳播者一個賺錢的途徑---在終端部署Adware或其他廣告應(yīng)用“。

【編輯推薦】

1. Android官方安全補丁被惡意修改
2. 暢享極致網(wǎng)絡(luò)生活就要鏟除惡意攻擊
3. 八款必備Android安全程序
4. Google兩步登陸的安全性分析與保護措施