俄羅斯安全公司Doctor Web，已經(jīng)檢測(cè)到了一個(gè)名為”Android.Pincer.2.origin”的惡意軟件。該公司表示，該惡意應(yīng)用是Android.Pincer家族的第二代產(chǎn)品，兩者皆是通過安全證書來傳播的。這也意味著，只有粗心大意的用戶”故意”把它安裝上，才會(huì)被感染。一旦安裝之后，該惡意軟件就會(huì)攔截用戶的短信并偷偷地轉(zhuǎn)發(fā)給犯罪分子。如果短信是被用來確認(rèn)網(wǎng)易銀行交易等敏感信息，其風(fēng)險(xiǎn)將非常之大。

啟動(dòng)Android.Pincer.2.origin后，用戶將會(huì)看到一個(gè)有關(guān)證書安裝成功的假通知。但在那之后，該木馬將在一段時(shí)間內(nèi)不會(huì)表現(xiàn)出任何的活動(dòng)跡象。

該惡意軟件將會(huì)通過CheckCommandServices開機(jī)自動(dòng)啟動(dòng)，并在后臺(tái)靜默運(yùn)行(參看上圖)。它會(huì)連接到遠(yuǎn)程服務(wù)器并發(fā)送受攻擊移動(dòng)設(shè)備上的下述有關(guān)信息：設(shè)備型號(hào)、序列號(hào)、IMEI、運(yùn)營(yíng)商、電話號(hào)碼、默認(rèn)系統(tǒng)語言、操作系統(tǒng)、以及可利用的root賬戶。

該惡意軟件會(huì)通過以下格式的指令發(fā)送信息：

start_sms_forwarding[telephone number] - 指定號(hào)碼，攔截短信

stop_sms_forwarding - 停止攔截短信

send_sms[phone number and text] - 使用指定的參數(shù)發(fā)送短信

simple_execute_ussd - 發(fā)送ussd

stop_program - 停止

show_message - 在屏幕上顯示一條信息

set_urls - 改變控制服務(wù)器地址

ping - 指定的號(hào)碼短信包含pong

set_sms_number - 改變發(fā)送短信的號(hào)碼

值得慶幸的是，Dr.Web表示Pincer2是不太可能流行開來的，因?yàn)镚oogle Play上也找不到它。該惡意軟件更像是會(huì)被用于精確的攻擊。