病毒劫持輸入法盜取賬號

　　隨著智能移動終端的快速普及與移動應用模式的擴展，包括輸入法在內的大量基礎移動APP被黑客盯上。最近，全球服務器安全、虛擬化及雲計算安全的領導廠商趨勢科技與騰訊手機管家聯合發出預警，一款可以監聽“手機輸入法”的Android惡意程序AndroidOS_KeyLogger.A(“鍵盤黑手”)驚現海外，並感染了擁有海量用戶的國際知名輸入法軟件SwiftKey KeyBoard。感染後的輸入法可以直接監聽用戶鍵盤輸入，上傳洩露用戶賬戶密碼信息，甚至包括信用卡 、網銀等支付資料。

 

　　這已是騰訊手機管家與趨勢科技第二次針對重點高危手機病毒聯合查殺與播報預警，雙方在2013年4月建立病毒同步監測播報合作機制之後，早前曾針對感染上百萬用戶的“權限殺手”病毒進行了聯合查殺與預警播報。此次聯合預警也凸顯了合作的重要性——依靠騰訊手機管家卓越的雲查殺功能、用戶覆蓋率，以及趨勢科技在病毒防護方面的深厚積累，可以在移動安全威脅凸顯的今天，很好的確保用戶的移動應用安全。

　　據了解，AndroidOS_KeyLogger.A(“鍵盤黑手”)可以把所有用戶有用的支付密碼、銀行或社交軟件賬號密碼等輸入內容上傳到指定遠端服務器，一旦感染該病毒，牽涉到用戶社交關系和網銀資金等關鍵隱私無疑將會被大量洩漏。病毒通過對Android輸入法SwiftKey KeyBoard進行重新打包，借助作者網站及第三方免費市場散播，甚至病毒制作者還以教程博客的形式發布了病毒及其制作方法。

 

　　被監聽的著名輸入法——SwiftKey KeyBoard

 

　　病毒制作者將SwiftKey KeyBoard輸入法修改為一款稱作KeyLogger的惡意程序。據趨勢科技工程師分析發現，黑客針對輸入法軟件重新打包，在KeyInputEvent按鍵類中插入KeyInputEvent$AsyncHttpPost按鍵記錄上傳代碼。其中KeyInputEven代碼類負責監聽輸入操作，KeyInputEvent$AsyncHttpPost代碼類負責打開上傳操作線程，將監聽到的鍵盤輸入信息上傳到www.android-app-development.ie網站。AndroidOS_KeyLogger.A(“鍵盤黑手”)通過在原有的輸入法軟件中，加入記錄鍵盤信息上傳惡意代碼，並向特定網址發送用戶數據的方式來全方位竊取用戶隱私。

 

　　AndroidOS_KeyLogger.A(“鍵盤黑手”)將記錄並上傳你在手機上敲下的每一個字

 

　　監測發現，病毒制作者可以在惡意軟件特定的網站www.android-app-development.ie上查看中毒用戶上傳的內容。打開指定網站，可以直接看到該網址根據IP地址對監聽的用戶進行了區分，病毒制作者還可以有選擇性地查看獲取某一區域的用戶輸入信息。外界可隨意獲取該病毒，並且記錄的按鍵資料也對外公開，導致不知情用戶安裝後登錄賬戶密碼信息、信用卡、網銀等支付資料等被大量洩漏，造成巨大經濟損失。

　　據趨勢科技與騰訊移動安全實驗室聯合分析：該病毒在監聽隱私和收集隱私、區分區域用戶方面分工明細，智能化程度、隱蔽性大大提高，攻擊方式與技術手段趨於多元化，逐利化特征明顯，是目前隱私竊取類病毒快速發展過程的一個典型性高危病毒。而按照病毒在國外蔓延的趨勢和智能化程度，“鍵盤黑手”極有可能通過捆綁國內知名輸入法的方式在國內迅速傳播。

　　趨勢科技與騰訊共同建議，盡管該病毒主要影響人群在國外，但SwiftKey KeyBoard在Google Play上有出售並且非常熱門，國內也已有部分用戶遭遇該病毒感染，手機用戶應盡快下載騰訊手機管家最新版，或者下載趨勢科技移動安全個人版(TMMS)以更新病毒庫，及時有效防御並查殺“鍵盤黑手”，保護手機賬號隱私與網銀資金安全。