发现 分析 影响 建议 IOCs: 参考: 发现 近期，我们发现了一批新型蠕虫木马，该木马不需要任何隐私权限，利用可穿戴设备扩展功能针对WhatsApp用户发送蠕虫链接。进一步分析，我们发现该木马实现原理可以针对所有实现了将可穿戴设备扩展添加到通知中的应用。由于将可穿戴扩展添加到通知中的功能在Android 5.0开始被提供使用，因此大约94.1%的Android设备受此蠕虫木马影响。 分析 蠕虫木马执行流程如下图所示： 图1 流程图 蠕虫木马不需要申请任何获取隐私的权限，如下图所示： 图2 申请权限 蠕虫木马启动后连接云端获取蠕虫消息配置信息，并且跳转到通知使用权授权页面，诱导人工授予通知访问权。而后木马将会隐藏图标，在后台运行。 图3 启动后的代码 一旦用户接收到来自WhatsApp消息时，通知栏会弹出WhatsApp的消息，蠕虫木马将会取消WhatsApp消息通知并自动回复包含其自身下载链接的消息，达到进一步自我传播目的，其中自动回复的内容为云端下发的配置信息。 进一步分析，我们发现该蠕虫自我传播方式，利用了Android应用将可穿戴设备扩展，添加到通知消息的能力，因此该蠕虫自我传播方式如果被其他恶意开发者利用，则可能针对其他实现了将可穿戴设备扩展添加到通知消息的应用。 图4 关键代码 影响 Android 5.0系统开始正式提供了Notification.WearableExtender 的API，其主要功能是创建带有可穿戴设备扩展程序的通知消息。此次蠕虫木马正式利用了这一特性，实现了无需权限而自动回复的功能，我们认为受此次蠕虫木马影响的Android设备占比为94.1%，如下图所示。 图5 Android设备版本与占比 虽然此次蠕虫木马只针对了WhatsApp应用通知消息，但是所有实现了将可穿戴扩展添加到通知中的应用都可以被该蠕虫木马攻击，例如短信、Faceboo...