趨勢科技最近分析了一只針對中國移動用戶的 Android 惡意軟件，中國移動是全球最大移動電話運營商的電信國有企業。

惡意軟件經由短信內的鏈接散播。這封短信告訴中國移動用戶透過短信內的鏈接可以幫他們在有漏洞的設備上安裝補丁，但實際上卻是下載惡意檔案。

這個被偵測為 ANDROIDOS_TCENT.A 的惡意軟件會在感染手機上搜集特定信息，像是 IMEI 號碼，手機型號和 SDK 版本。接著，它連到一個特定的網址去下載一個 XML 配置文件。研究了這配置文件的內容后，我們發現類型標簽和它的值跟這惡意軟件的運作相關聯。

我們可以推測出卷標內的值代表什么功能。像 <regport> 卷標包含了當惡意軟件拿到受感染手機的 IMEI 號碼后，要送簡訊過去的號碼。

在 <pbreceport> 里的號碼是中國簡訊服務商的號碼（ 1062 ， 1065 ， 1066 ），也包括中國移動的服務號碼（ 10086 ）。惡意軟件會監控所有上述號碼送到這手機的簡訊并加以刪除，以防止用戶看到。這可以防止用戶發現惡意軟件發送簡訊到這些簡訊服務商。

根據其運作模式，這惡意軟件會試圖向用戶隱藏自己，所以它安裝之后并不會在手機屏幕上出現圖標，這點跟其他先前公布的 Android 惡意軟件并不相同。唯一可見的中毒證據是在手機的記憶卡內會出現一個命名為” Tencent” 的文件夾。數據中包含惡意檔案 ? v1.log 和 smsConfig.xml 。

我們還觀察到惡意軟件代碼中有啟用除錯模式，這可能意味著攻擊仍然處于試驗階段，很可能在未來還會出現改良過的版本。

如果用戶的手機已經被這惡意軟件感染了，可以照著趨勢科技 病毒百科內 ANDROIDOS_TCENT.A 的病毒報告 來進行手動移除。

安全更新僅僅是眾多網絡黑客用來偽裝并說服用戶在其 Android 設備上執行惡意檔案的方式。我們已經看到許多 Android 惡意軟件會偽裝成游戲，媒體播放器，甚至是資安軟件的形式出現。想要了解更多相關威脅，請參考 假軟件對 Android 用戶的影響 。