據(jù)卡巴斯基實(shí)驗(yàn)室的最新報(bào)告顯示，其“首次發(fā)現(xiàn)了黑客通過使用不同的移動惡意軟件來創(chuàng)建僵尸網(wǎng)絡(luò)并以此來傳播惡意軟件的案例。”

這聽起來是不是很不可思議?

然而，黑客通過移動僵尸網(wǎng)絡(luò)來傳播惡意軟件其實(shí)只是遲早的事。

該僵尸網(wǎng)絡(luò)由Obad.a和Opfake.a程序搭配組成，用戶一旦安裝了該程序后將導(dǎo)致Android設(shè)備受感染并使得惡意軟件得到大面積的傳播。

俄羅斯反病毒公司卡巴斯基稱，該惡意軟件的罪魁禍?zhǔn)譈ackdoor.AndroidOS.Obad.a是“史上最為復(fù)雜的Android木馬程序。”其還表示“就Obad.a的復(fù)雜程度和被其利用的漏洞數(shù)量(未公布)而言，它看起來不像是個Android木馬病毒，反倒更像是一個Windows惡意軟件。”

到目前為止，所有有關(guān)Android惡意軟件的報(bào)道均提醒用戶必須保持高度警惕以防設(shè)備收到病毒感染。

一位名為Roman Unuchek的卡巴斯基實(shí)驗(yàn)室專家寫道，Obad.a采用了入侵Android常用的方式，如短消息服務(wù)(即短信)、垃圾信息、假冒Google Play商店，以及被黑掉的或不可信的Android軟件下載站點(diǎn)等——其最新的伎倆則使得該木馬比普通的Android木馬更具傳染性。

在實(shí)際情況中Obad.a是與另一個手機(jī)木馬SMS.AndroidOS.Opfake.a一道傳播的。這個木馬使用了入侵Android的常用方式并偽裝為一個用戶想要下載的應(yīng)用程序。一旦用戶被種下該木馬病毒，Opfake.a就會利用Google云消息服務(wù)(GCM)給用戶發(fā)送一條短信，短信內(nèi)容如下：

彩信已發(fā)送成功，請點(diǎn)擊www.otkroi.com下載。

如果用戶點(diǎn)擊了這個鏈接，一個名為mms.apk的文件就會自動下載到用戶的智能手機(jī)或平板電腦上，該文件中包含有Opfake.a程序。而后，用戶如果選擇運(yùn)行這個應(yīng)用程序，那么僵尸網(wǎng)絡(luò)的命令和控制服務(wù)器就能夠給該木馬發(fā)送指令，向用戶設(shè)備上的所有聯(lián)系人發(fā)送以下消息：

您有一條新彩信，請點(diǎn)擊http://otkroi.net/12下載。

一旦用戶點(diǎn)擊這個鏈接并下載彩信，那么Obad.a就會被自動加載到mms.apk或mmska.apk的文件名下。用戶如果運(yùn)行了這些程序，其就將成為Obad.a的一個傳播網(wǎng)絡(luò)。

當(dāng)然，以上動作的實(shí)現(xiàn)都需要用戶的參與，于是許多用戶紛紛中招。

據(jù)Unuchek介紹，一家俄羅斯大型移動運(yùn)營商的統(tǒng)計(jì)數(shù)據(jù)表明，“在短短5個小時內(nèi)，就有600條帶有Trojan-SMS.AndroidOS.Opfake.a木馬的短消息被成功發(fā)送。多數(shù)情況下這些短消息都由受感染的移動設(shè)備發(fā)出，而此前黑客就曾利用短信網(wǎng)關(guān)做了幾次類似的病毒傳播。另一方面，目前只有少數(shù)設(shè)備受到Opfake.a的感染，Opfake.a會通過發(fā)送鏈接讓用戶下載Obad.a程序，因此我們可以得出一個結(jié)論，即該惡意木馬的創(chuàng)建者是通過租用部分移動僵尸網(wǎng)絡(luò)來實(shí)現(xiàn)對惡意軟件的傳播。”

而這導(dǎo)致的最終結(jié)果，就是使得該僵尸網(wǎng)絡(luò)能夠迅速傳播Opfake.a和Obad.a程序。

據(jù)卡巴斯基統(tǒng)計(jì)，目前一共發(fā)現(xiàn)了“12個版本的Backdoor.AndroidOS.Obad.a程序，所有這些程序都具有相同的功能集合和高級別的代碼混淆。每個版本的木馬程序都會利用一個允許惡意軟件獲得設(shè)備管理員權(quán)限的Android系統(tǒng)漏洞，而用戶將很難刪除掉這些木馬程序。”

對此，Google已經(jīng)關(guān)閉了Android 4.3中曾遭Obad.a利用的安全漏洞。同時卡巴斯基也表示“盡管漏洞依然存在，但用戶可以下載最新版的KIS(Kaspersky Internet Security)for Android 11.1.4刪除所有Android系統(tǒng)版本中的Obad.a程序。”