Trustlook实验室的安全研究员最近从一款中文Android应用程序中发现了一种新型的木马病毒，旨在从移动即时通讯（instant message，IM）软件中窃取数据。 [出自:jiwo.org]

该恶意软件具有以下特征：

• MD5：ade12f79935edead1cab00b45f9ca996
• SHA256：1413330f18c4237bfdc523734fe5bf681698d839327044d5864c9395f2be7fbe
• 大小：1774802字节
• 应用程序名称：Cloud Module（中文）
• 安装包名称：com.android.boxa

木马病毒只具备少数几项功能

根据Trustlook实验室的描述，该木马病毒只具备少数几项功能。首先是从受感染应用程序的资源中解压代码以获得引导持久性。该代码将尝试修改“/system/etc/install-recovery.sh”文件，如果成功，该文件将允许在每次受感染设备启动时执行木马病毒。

其次，木马病毒可以从多款Android 即时通讯软件中提取数据，而这些数据将在稍后上传到命令和控制（C＆C）服务器。C＆C服务器的IP地址包含在木马病毒的配置文件中，木马病毒也会从该服务器获取命令。该木马针对的Android 即时通讯软件目标列表如下：

• Facebook Messenger
• Skype
• Telegram
• Twitter
• 微信
• 微博
• 陌陌
• Viber
• Line
• Coco
• BeeTalk
• Voxer Walkie Talkie Messenger
• Gruveo Magic Call
• TalkBox Voice Messenger

功能简单但逃避检测能力强大

Trustlook研究人员表示，尽管该木马病毒只专注于窃取Android 即时通讯软件数据，但它仍使用了一些先进的逃避技术。例如，它会使用反仿真器和调试器检测技术来逃避动态分析，并且还在其源代码中隐藏字符串以阻止逆向工程的尝试。

而令人奇怪的地方也在这里，很少会有恶意软件在采用如此多的先进逃避技术的同时只被设计为用来实现单一的恶意功能。Trustlook实验室发现的这个木马病毒似乎成为了一个例外，它的确只会执行唯一的一项恶意操作，即窃取并上传Android 即时通讯软件数据。

安全专家认为，这种设计选择极有可能来源于该木马病毒开发者正在为恐吓勒索活动做准备。从之前的一些案例来看，攻击者收集私人对话、图片以及视频的目的在于试图从中找出某些敏感信息，而这个信息在之后的勒索活动中将发挥关键作用，尤其是对于一些公众人物来说。

遗憾的是，Trustlook实验室到目前为止尚没有分享有关该木马病毒传播方式的相关信息。但考虑到病毒是从一款中文应用程序中发现的，并且在我国没有官方的Google Play商店。因此，该木马病毒很可能是通过某些第三方应用商店、软件共享网站或者论坛传播的。