『记者团』警惕Geinimi:首款Android平台僵尸网络软件_综合游戏交流

ZxID：13261217

等级: 中尉

举报只看楼主使用道具楼主发表于: 2010-12-31 0

　机锋网12月30日消息，近日，一种新的木马开始在中国的Android手机中蔓
延，它的名字叫做“Geinimi”(网友称其为“给你米”)。据了解，这个木马会
截持到用户手机中的个人数据，将其发送到远程服务器端。有国外媒体将其
定义为“迄今为止我们所见到的最复杂的Android恶意软件”，同时我们发
现，Geinimi是Android平台上首款具有僵尸网络特征的恶意软件，一旦该软
件在用户的手机上安装成功，那么它就有可能接受来自远程服务器的命令，
使该服务器的所有者控制“中招”的手机。

　
　据目前了解，Geinimi的传播方式是通过对当前比较流行的Android应用与
游戏的APK安装文件进行再编辑，将木马植入其中，然后把改装过的APK放
入第三方Android应用程序商店中广为传播。对于习惯允许安装未知来源的应
用程序的用户来说，不小心就装到Geinimi的几率实在是非常之大。

　　虽然目前Geinimi已经被公之于众，但是大家对于这个恶意软件的企图并
没有一个清晰的认识，或许是有人想要建立一个庞大的Android僵尸网络?目
前Android正飞速发展，使用Android手机的用户数量只能以“突飞猛进”来
形容，很显然在不远的未来Android将会至少统一全球智能手机市场的半壁江
山，假如Geinimi想控制数量如此宠大的用户手机，很显然“恶意软件”四个
字已不能概括其性质，叫“恶毒软件”似乎更为贴切一些。

　　当用户的手机安装上Geinimi之后，木马将会在后台运行，每5分钟收集
一次用户的个人信息(包括：位置坐标、IMEI码以及SIM独特的标识符等)，将
其传至远程服务器，目前已知的服务器域名如下： www.widifu.com、
www.udaore.com、www.frijd.com、www.islpast.com、www.piajesj.com。

　　虽然目前中招安装了Geinimi软件的手机被监测出向远程服务器发送用户
隐私，但是至今仍未收到远程服务器发送回来的命令。国外移动安全团队
lookout正在进一步分析geinimi的代码，目前已有证据能证明Geinimi具有如下
行为：

　　1.发送位置坐标;

　　2.发送设备识别码(IMEI号和IMSI);

　　3.下载并提示用户安装一个应用程序;

　　4.提示用户卸载一个应用程序;

　　5.收集用户手机中的应用程序列表并发送到远程服务器。

　　值得注意的是，虽然Geinimi可以远程控制提醒用户安装或卸载应用程
序，但是这仍需用户点击“确认”才可进行，在此，小编提醒大家在下载安
装软件时，请尽量小心查看软件所需调用的权限，千万不可像往常一样闭着
眼睛狂点“确定”，结果导致不幸中招。

　　在目前尚未找到完美阻止Geinimi的情况下，我们只能加倍谨慎才能保证
自己手机的安全：

　　1.只从信任的来源下载软件(比如机锋市场)，看名称，开发者，评论和星
级评定;

　　2.经常检查手机中已安装应用程序所调用的权限，根据常识来判断那些
应用程序的权限与它们的功能是否相匹配;

　　3.一旦发现手机有异常的情况，切不可大意忽视，那也许就是你手机被
感染的一个信号。经常检查手机中是否有在你不知情的情况下就安装的软
件，以及是否有短信被自动发送到未知号码的情况等;

　　4.下载手机安全软件，扫描每一个应用程序。

　　随着这个Geinimi这个恶意软件被发现，Android手机用户更应该要比以
往任何时候注意你的下载安装软件行为，保持警觉，确认你所下载安装的程
序有个名正言顺的来源。

　　现在已经证实加入Geinimi木马并重新打包的应用软件包括：《超级猴子
跳2》、《美国总统大战外星人》、《城市防御》、《棒球巨星2010》，预
计其他被修改的软件还有更多。但是，谷歌官方的Android电子市场中的软件
并未受其影响。

本帖de评分：共 1 条评分ＤＢ +20