当「我的世界」不再是我的世界 ——《我的世界》惊现仿冒游戏下载器

By | 2016年1月25日

Post by Godyu

《我的世界》是一款自由度极高的沙盒游戏,自2009年上线以来,一直备受网友追捧。但是,近期AVL移动安全团队截获一款仿冒《我的世界》游戏下载器的恶意软件,经过分析发现该恶意软件有如下行为特征:

  • 通过篡改知名游戏《我的世界》下载器进行肆意传播
  • 该恶意软件执行后会执行so文件解密释放恶意文件
  • 私自获取用户手机root权限
  • 静默安装应用到系统目录下,严重威胁用户手机系统安全
  • 推送其他恶意应用
  • 推送广告,影响用户操作体验
  • 为躲避杀毒软件的查杀,将恶意子程序不同的模块分层隐藏到资源文件和ELF文件中

一、恶意代码行为说明

经过AVL移动安全团队对代码的详细分析,该恶意应用的运行流程如下图所示: 33

说明:

  • 该应用运行时会加载skin.so文件,解密释放运行恶意子包cE.zip,并通过cE.zip继续释放运行子程序fp.dex和fx.dex。
  • fp.dex运行后会静默下载提权功能模块,获取用户手机root权限,在后台私自下载应用程序,静默安装到系统目录下。
  • fx.dex运行后会弹出虚假的漏洞修复窗口,诱导用户下载恶意应用,当用户安装运行恶意应用后会隐藏图标,请求激活设备管理器并私自下载应用推送广告。

二.恶意代码详细分析

1 动态现象

该恶意程序运行后会弹出虚假的漏洞修复窗口,诱导用户点击下载恶意应用,用户点击安装运行后会请求激活设备管理器。 1 2 3

2 静态分析

2.1 解密释放恶意子程序

在主程序的入口处加载skin.so文件,解密释放子程序cE.zip并加载运行。 4

在子程序cE.zip当中会继续读取资源文件解密释放fx.jar,fp.jar子程序。 5 6 7

释放的文件包结构左图为fp.jar,右图为fx.jar 8

9

2.2 私自下载提权功能模块

主程序在运行时还会加载运行fp.dex,私自下载包含提权功能的right_core.apk。 10 运行时通过http://cdn.52ruian.com/z/right_core.apk联网下载后,将文件解密并进行初始化。 11 从远程服务器下载提权模块right_core.jar解密后的包结构如下图: 12

2.3 获取Root权限,私自下载安装其他恶意应用

right_core.jar被加载运行后通过资源文件support.bmp解密释放出support的ELF文件,并调用“native_init”方法来释放提权工具。 13 14 15 释放的文件截图如下: 16 运行时生成psneuter.script脚本文件,将释放的root相关文件重定向到相关的系统目录。 17 18 获得root权限后,通过联网私自下载恶意app。将下载的app通过脚本静默安装到系统目录下。 19 20 21

2.4 弹出虚假的漏洞修复提示框,诱导用户下载恶意应用

加载fx.dex运行时,程序会以广告形式弹出提示漏洞修复的弹窗(实则为一张图片),用户点击后会自动下载恶意应用。

通过http://efget.hmapi.com:10091/fgetad.do 联网获取恶意app的下载地址和弹窗图片。 2223

联网的抓包截图如下: 24 25

下载的恶意程序使用了360加固技术,右边为脱壳后的包结构。该程序已经被我们的杀毒引擎检出为:G-Ware/Android.Fakegupdt.f。 2627

2.5 隐藏图标,激活设备管理器,私自下载应用

用户点击自动下载的恶意应用后,恶意应用会隐藏程序图标,并请求激活设备管理器。 28 29 启动服务DuService,从本地数据库中获取数据下载广告推广的应用。 30 31 32

2.6 躲避杀毒软件查杀

该恶意程序将恶意子程序不同的模块分层隐藏到资源文件和ELF文件中,对杀毒软件的检测造成了一定的难度。

三.安全建议

经过安全研究人员分析,该恶意软件会获取用户手机Root权限,静默安装应用到系统目录下,对手机系统可能造成严重影响,并可能会不断推送其他恶意应用和各种广告,影响手机正常使用。因此,AVL移动安全团队建议大家尽快下载安装AVL Pro对该类木马进行检测和查杀,同时提醒用户应到官方站点或可信任的应用市场下载手机软件,不随意下载插件,以避免受到恶意软件的危害。

AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:http://blog.avlyun.com/?p=2697

扫一扫关注AVLTeam微信公众号,获取更多安全资讯:

微信二维码

2 thoughts on “当「我的世界」不再是我的世界 ——《我的世界》惊现仿冒游戏下载器

发表评论

电子邮件地址不会被公开。 必填项已用*标注