安天AVL联合猎豹首曝“多米诺”恶意应用市场APP

曾经，有一款恶意APP摆在我面前，我没有认出来，
等到我下载了之后才后悔莫及，
最痛苦的事莫过于，
直到联网运行了之后，我才知道，
它已经不是一款单纯的恶意APP，
而是一款会偷偷下载安装更多病毒的应用市场APP！
简直超出了我对恶意APP的认知，可怕！
我的流量呢？我的话费呢？
坑爹！
上述提到的“会偷偷下载安装更多病毒的应用市场APP”，正是近期被AVL移动安全和猎豹移动安全实验室共同截获的一款Root病毒下载器。该应用行为极其狡猾，为躲避杀毒软件的查杀，伪装成正常应用市场APP。
最为可怕的是，其会产生多米诺效应，一旦有用户不慎安装中招，该病毒在受感染手机首次连接网络后，将私自下载恶意子程序并加载运行，偷偷为用户手机提取Root权限并大量安装恶意应用到手机系统目录中，造成用户流量的严重损耗！
此外，这些下载的恶意应用将被全部自启动，其中包含诸如毒蛋糕（该病毒的详细分析请参看：http://blog.avlyun.com/2014/12/1932/poisoncake-in-the-rom/）等超高危害病毒，通过私自发送恶意扣费短信进而造成用户的资费损失，并且用户无法卸载清除！
经AVL移动安全和猎豹移动安全实验室深度分析后发现，该病毒主要含有如下恶意行为：
1. 启动后立即静默下载恶意子程序并加载运行；
2.  解密子程序中的资源文件，获取下载应用url列表并私自静默下载大量恶意应用到用户手机中，同时获取提权文件，并私自对用户手机进行Root操作；
3. 运行shell脚本将下载的恶意应用重定向到系统目录下，并启动新下载的恶意程序；
4. 将用户设备的Root状态，是否感染”毒蛋糕”高级恶意程序和设备信息以及IMEI ，IMSI，mac地址，系统信息上传到服务器。

图1 病毒恶意行为路径图
一、详细分析
1.1恶意程序信息
程序包名：com.joy7.apple.appstore，程序图标如下：

通过程序图标，可以看到该病毒完全模仿了iOS应用商店名称与图标。其包含的恶意程序包结构如下图：

1.2下载恶意子程序
程序启动后，通过监听用户开机启动、解锁、网络变化情况来启动恶意程序功能模块，代码如下图所示：

恶意程序功能模块启动后，通过解密字段获取恶意子包的下载地址http://download.c1d2n.com/rt/1208ggnn.mm和程序名称，下载后储存在主程序的cache目录下面，并通过反射调用com.power.RtEngineApi类的action方法启动程序，代码如下图所示：


1.3后台推送大量恶意应用，联网更新控制指令
通过action方法解密主程序Assets目录下的资源文件data0，并解析获取推送APK和更新指令的网址。解密后得到的部分数据截图如下：

联网下载APK到SD卡的.rtkpa隐藏目录下，并将APK中的库文件也解压放到该目录面。文件截图如下：

推送的APK大部分为恶意应用，如下表所示：

恶意程序访问更新指令的网址，解析得到启动应用的最新指令。指令结构如下：包含程序包名和组件名以及开关变量。

1.4解密释放核心文件
恶意子程序通过本地自解密释放.ci.036、.sv.qq、.sys.irf、.sys.us、.sys.attr、.sysbinx.ydg.dm、b.zip、onme.zip文件。
本地自解密释放生成.ci.036，设置.ci.036文件保存路径。代码如下图所示：  

  将自解密的原始数据写入.ci.036，代码如下图所示：

其余文件也都采用了类似的解密方法。其中b.zip，onme.zip为提权文件，.ci.036、.sv.qq、.sys.us、.sys.attr文件为ELF可执行文件，运行时启动相应守护进程启动shell环境并执行传入的shell脚本指令，.sys.irf为shell脚本文件用于替换install-recovery.sh。sysbinx.ydg.dm被检出为PoisonCake.a（毒蛋糕），在运行时会被重定向到/system/bin/dm。该病毒会注入Phone进程，拦截短信和发送短信，此外窃取手机信息并上传至远程服务器，联网下载文件，实现自我更新，给用户手机造成极大的危害。
1.5获取手机Root权限
恶意代码通过自解密代码中的固定字符串，在本地生成文件/data/data/com.joy7.apple.appstore/files/prog16_b*/b.zip
和/data/data/com.joy7.apple.appstore/files/prog_om*/onem.zip（*号为生成文件的类实例化时传入的参数），解压释放提权文件并私自对用户手机进行提权，并返回exitcode来判断是否提权成功，然后删除提权文件。
相关代码如下图所示：


本地生成的提权文件截图如下：


1.6篡改启动脚本，重定向恶意应用到系统目录
程序私自Root用户手机后，执行创建的shell脚本，替换系统文件，将恶意APK以及相应的库文件重定向到系统目录下并通过am start –n 和 am startservice命令启动运行恶意程序，通过.sys.arrt执行+ia命令将恶意APK锁定在系统目录下。用.sys.irf文件替换install-recovery.sh脚本实现.nbwayxwzt，.360asshole，dm文件（毒蛋糕核心模块）在系统启动时后台运行。
Shell脚本部分截图如下：


1.7上传用户信息到服务器
恶意程序还会将用户的设备信息IMEI、IMSI、MAC地址、linux版本、包名、城市和语言，以及设备Root状态，/system/bin/dm文件是否存在等信息进行des加密。通过网址http://115.28.191.170:8080/WZDatasServer/RecordInfo上传到服务器上。代码如下图所示：



二、总结
Root病毒下载器的出现，折射出当前日渐严峻的恶意代码对抗形势。通过对该Root病毒下载器的分析，以及对各类恶意代码攻击行为的长期关注，可以初步总结目前病毒发展有如下趋势：
1、 恶意代码作者逐渐擅长病毒伪装手段，通过伪装正常应用首先进入用户终端，躲开部分纯静态分析技术的杀毒软件的检测，顺利运行后再联网下载实际恶意子程序并加载运行，进而对用户终端实施各类恶意行为，给用户带来极大的伤害和困扰。
2、 更多Root类病毒的涌现，通过私自静默为用户系统提取Root权限而防止自身病毒被卸载，这给安全软件的病毒查杀工作带来了极大的困难。希望ROM厂商能更多与安全厂商进行深度合作，保护用户终端系统，加强对恶意Root行为的识别和抵制，从根源上保护用户安全。
3、 恶意代码越来越注重自身程序的防护，通过使用第三方的代码混淆或加固服务，对自身病毒进行加强以对抗分析，进一步躲避杀毒软件的查杀；强烈建议代码混淆厂商以及加固厂商在提供服务时，加强对服务对象的审核环节，拒绝为病毒提供任何混淆或加固服务，进一步从源头遏制病毒的发展。
针对此类Android病毒，请及时使用相关安全应用进行全面查杀。同时，请不要在非官方网站或者不知名应用市场下载任何应用。