IT技术互动交流平台

安天AVL联合猎豹首曝“多米诺”恶意应用市场APP

作者:佚名  发布日期:2016-03-17 22:28:23

曾经,有一款恶意APP摆在我面前,我没有认出来,
等到我下载了之后才后悔莫及,
最痛苦的事莫过于,
直到联网运行了之后,我才知道,
它已经不是一款单纯的恶意APP,
而是一款会偷偷下载安装更多病毒的应用市场APP!
简直超出了我对恶意APP的认知,可怕!
我的流量呢?我的话费呢?
坑爹!
上述提到的“会偷偷下载安装更多病毒的应用市场APP”,正是近期被AVL移动安全和猎豹移动安全实验室共同截获的一款Root病毒下载器。该应用行为极其狡猾,为躲避杀毒软件的查杀,伪装成正常应用市场APP。
最为可怕的是,其会产生多米诺效应,一旦有用户不慎安装中招,该病毒在受感染手机首次连接网络后,将私自下载恶意子程序并加载运行,偷偷为用户手机提取Root权限并大量安装恶意应用到手机系统目录中,造成用户流量的严重损耗!
此外,这些下载的恶意应用将被全部自启动,其中包含诸如毒蛋糕(该病毒的详细分析请参看:http://blog.avlyun.com/2014/12/1932/poisoncake-in-the-rom/)等超高危害病毒,通过私自发送恶意扣费短信进而造成用户的资费损失,并且用户无法卸载清除!
经AVL移动安全和猎豹移动安全实验室深度分析后发现,该病毒主要含有如下恶意行为:
1. 启动后立即静默下载恶意子程序并加载运行;
2.  解密子程序中的资源文件,获取下载应用url列表并私自静默下载大量恶意应用到用户手机中,同时获取提权文件,并私自对用户手机进行Root操作;
3. 运行shell脚本将下载的恶意应用重定向到系统目录下,并启动新下载的恶意程序;
4. 将用户设备的Root状态,是否感染”毒蛋糕”高级恶意程序和设备信息以及IMEI ,IMSI,mac地址,系统信息上传到服务器。

图1 病毒恶意行为路径图
一、详细分析
1.1恶意程序信息
程序包名:com.joy7.apple.appstore,程序图标如下:

通过程序图标,可以看到该病毒完全模仿了iOS应用商店名称与图标。其包含的恶意程序包结构如下图:

1.2下载恶意子程序
程序启动后,通过监听用户开机启动、解锁、网络变化情况来启动恶意程序功能模块,代码如下图所示:

恶意程序功能模块启动后,通过解密字段获取恶意子包的下载地址http://download.c1d2n.com/rt/1208ggnn.mm和程序名称,下载后储存在主程序的cache目录下面,并通过反射调用com.power.RtEngineApi类的action方法启动程序,代码如下图所示:


1.3后台推送大量恶意应用,联网更新控制指令
通过action方法解密主程序Assets目录下的资源文件data0,并解析获取推送APK和更新指令的网址。解密后得到的部分数据截图如下:

联网下载APK到SD卡的.rtkpa隐藏目录下,并将APK中的库文件也解压放到该目录面。文件截图如下:

推送的APK大部分为恶意应用,如下表所示:

恶意程序访问更新指令的网址,解析得到启动应用的最新指令。指令结构如下:包含程序包名和组件名以及开关变量。

1.4解密释放核心文件
恶意子程序通过本地自解密释放.ci.036、.sv.qq、.sys.irf、.sys.us、.sys.attr、.sysbinx.ydg.dm、b.zip、onme.zip文件。
本地自解密释放生成.ci.036,设置.ci.036文件保存路径。代码如下图所示:  

  将自解密的原始数据写入.ci.036,代码如下图所示:


其余文件也都采用了类似的解密方法。其中b.zip,onme.zip为提权文件,.ci.036、.sv.qq、.sys.us、.sys.attr文件为ELF可执行文件,运行时启动相应守护进程启动shell环境并执行传入的shell脚本指令,.sys.irf为shell脚本文件用于替换install-recovery.sh。sysbinx.ydg.dm被检出为PoisonCake.a(毒蛋糕),在运行时会被重定向到/system/bin/dm。该病毒会注入Phone进程,拦截短信和发送短信,此外窃取手机信息并上传至远程服务器,联网下载文件,实现自我更新,给用户手机造成极大的危害。
1.5获取手机Root权限
恶意代码通过自解密代码中的固定字符串,在本地生成文件/data/data/com.joy7.apple.appstore/files/prog16_b*/b.zip
和/data/data/com.joy7.apple.appstore/files/prog_om*/onem.zip(*号为生成文件的类实例化时传入的参数),解压释放提权文件并私自对用户手机进行提权,并返回exitcode来判断是否提权成功,然后删除提权文件。
相关代码如下图所示:


本地生成的提权文件截图如下:


1.6篡改启动脚本,重定向恶意应用到系统目录
程序私自Root用户手机后,执行创建的shell脚本,替换系统文件,将恶意APK以及相应的库文件重定向到系统目录下并通过am start –n 和 am startservice命令启动运行恶意程序,通过.sys.arrt执行+ia命令将恶意APK锁定在系统目录下。用.sys.irf文件替换install-recovery.sh脚本实现.nbwayxwzt,.360asshole,dm文件(毒蛋糕核心模块)在系统启动时后台运行。
Shell脚本部分截图如下:


1.7上传用户信息到服务器
恶意程序还会将用户的设备信息IMEI、IMSI、MAC地址、linux版本、包名、城市和语言,以及设备Root状态,/system/bin/dm文件是否存在等信息进行des加密。通过网址http://115.28.191.170:8080/WZDatasServer/RecordInfo上传到服务器上。代码如下图所示:



二、总结
Root病毒下载器的出现,折射出当前日渐严峻的恶意代码对抗形势。通过对该Root病毒下载器的分析,以及对各类恶意代码攻击行为的长期关注,可以初步总结目前病毒发展有如下趋势:
1、 恶意代码作者逐渐擅长病毒伪装手段,通过伪装正常应用首先进入用户终端,躲开部分纯静态分析技术的杀毒软件的检测,顺利运行后再联网下载实际恶意子程序并加载运行,进而对用户终端实施各类恶意行为,给用户带来极大的伤害和困扰。
2、 更多Root类病毒的涌现,通过私自静默为用户系统提取Root权限而防止自身病毒被卸载,这给安全软件的病毒查杀工作带来了极大的困难。希望ROM厂商能更多与安全厂商进行深度合作,保护用户终端系统,加强对恶意Root行为的识别和抵制,从根源上保护用户安全。
3、 恶意代码越来越注重自身程序的防护,通过使用第三方的代码混淆或加固服务,对自身病毒进行加强以对抗分析,进一步躲避杀毒软件的查杀;强烈建议代码混淆厂商以及加固厂商在提供服务时,加强对服务对象的审核环节,拒绝为病毒提供任何混淆或加固服务,进一步从源头遏制病毒的发展。
针对此类Android病毒,请及时使用相关安全应用进行全面查杀。同时,请不要在非官方网站或者不知名应用市场下载任何应用。
 

延伸阅读:

Tag标签: 多米诺   安天   猎豹  
  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规