“725隐私窃贼” Android蠕虫技术分析

近日，一款具有新特点的Android隐私窃取蠕虫悄然横行网络。该蠕虫会在启动时窃取用户的所有短信内容和所有联系人信息并通过网络发送到指定号码的手机上和指定位置的邮箱中，根据安全研究人员的追踪和分析，该病毒已窃取了超过百万的联系人信息和短信。
我们 在第一时间率先发现该Android蠕虫并将提交司法机关处理。
该Android蠕虫有如下特点：
（1）自动失效。该Android启动后没有具体内容，用户不易察觉。并且有固定的失效时间：2015年7月25日 18点18分13秒。
（2）定向传播。该蠕虫apk部署在现在国内非常流行的开发云上，将URL通过短信定向发送给指定用户，短信内容具有诱惑力，如“看看你家那位都在外面干什么呢！+ URL”。
用户点击后下载安装立即中招。
下面就让我们对该Android蠕虫“725隐私窃贼”从技术面进行分析。
0x00
启动之后计算当前时间，看是否超过自动销毁时间，自动销毁时间是2015.07.25 18:18:13，超时则不再执行。

0x01
如果在7月25号的指定时间之前，则启动service服务

Service通过如下代码窃取用户隐私数据。

0x10
该Android蠕虫的恶意功能包括。
（1）窃取联系人信息

（2）窃取收件箱信息

（3）窃取发件箱信息

之后通过短信和邮件将用户隐私数据发送到黑客制定的手机和邮箱中。
（1）短信

（2）邮箱

0x100
目前我们的研究人员已收集了证据并定位了该黑客团伙的位置提交受理。移动互联网时代的病毒木马越来越难发现，也越来越懂得隐藏，纯粹以窃取隐私为目的的蠕虫软件层出不穷。一条Android手机隐私数据黑色产业链赫然成型。

在这里，提醒广大用户不要随意点击短信、微信、邮件中不明来历的URL，避免中招，无疑间泄露您的重要隐私数据。