安天AVL联合猎豹首曝“多米诺”恶意应用市场APP

By | 2016年3月17日

曾经,有一款恶意APP摆在我面前,我没有认出来,

等到我下载了之后才后悔莫及,

最痛苦的事莫过于,

直到联网运行了之后,我才知道,

它已经不是一款单纯的恶意APP,

而是一款会偷偷下载安装更多病毒的应用市场APP!

简直超出了我对恶意APP的认知,可怕!

我的流量呢?我的话费呢?

坑爹!

上述提到的“会偷偷下载安装更多病毒的应用市场APP”,正是近期被安天AVL移动安全和猎豹移动安全实验室共同截获的一款Root病毒下载器。该应用行为极其狡猾,为躲避杀毒软件的查杀,伪装成正常应用市场APP。

最为可怕的是,其会产生多米诺效应,一旦有用户不慎安装中招,该病毒在受感染手机首次连接网络后,将私自下载恶意子程序并加载运行,偷偷为用户手机提取Root权限并大量安装恶意应用到手机系统目录中,造成用户流量的严重损耗!

此外,这些下载的恶意应用将被全部自启动,其中包含诸如毒蛋糕(该病毒的详细分析请参看:http://blog.avlyun.com/?p=1932)等超高危害病毒,通过私自发送恶意扣费短信进而造成用户的资费损失,并且用户无法卸载清除!

安天AVL移动安全和猎豹移动安全实验室深度分析后发现,该病毒主要含有如下恶意行为:

1、启动后立即静默下载恶意子程序并加载运行;

2、 解密子程序中的资源文件,获取下载应用url列表并私自静默下载大量恶意应用到用户手机中,同时获取提权文件,并私自对用户手机进行Root操作;

3、运行shell脚本将下载的恶意应用重定向到系统目录下,并启动新下载的恶意程序; 

4、 将用户设备的Root状态,是否感染毒蛋糕高级恶意程序和设备信息以及IMEI IMSImac地址,系统信息上传到服务器。

1 病毒恶意行为路径图

 一、详细分析 
1.1恶意程序信息

程序包名:com.joy7.apple.appstore,程序图标如下:

通过程序图标,可以看到该病毒完全模仿了iOS应用商店名称与图标。其包含的恶意程序包结构如下图:

1.2下载恶意子程序

程序启动后,通过监听用户开机启动、解锁、网络变化情况来启动恶意程序功能模块,代码如下图所示:

4

恶意程序功能模块启动后,通过解密字段获取恶意子包的下载地址http://download.c1d2n.com/rt/1208ggnn.mm和程序名称,下载后储存在主程序的cache目录下面,并通过反射调用com.power.RtEngineApi类的action方法启动程序,代码如下图所示:

5

6


1.3后台推送大量恶意应用,联网更新控制指令

通过action方法解密主程序Assets目录下的资源文件data0,并解析获取推送APK和更新指令的网址。解密后得到的部分数据截图如下:

7

联网下载APKSD卡的.rtkpa隐藏目录下,并将APK中的库文件也解压放到该目录面。文件截图如下:

推送的APK大部分为恶意应用,如下表所示:


恶意程序访问更新指令的网址,解析得到启动应用的最新指令。指令结构如下:包含程序包名和组件名以及开关变量。

1.4解密释放核心文件

恶意子程序通过本地自解密释放.ci.036.sv.qq.sys.irf.sys.us.sys.attr.sysbinx.ydg.dmb.ziponme.zip文件。

本地自解密释放生成.ci.036,设置.ci.036文件保存路径。代码如下图所示:

将自解密的原始数据写入.ci.036,代码如下图所示:

12

其余文件也都采用了类似的解密方法。其中b.ziponme.zip为提权文件,.ci.036.sv.qq.sys.us.sys.attr文件为ELF可执行文件,运行时启动相应守护进程启动shell环境并执行传入的shell脚本指令,.sys.irfshell脚本文件用于替换install-recovery.shsysbinx.ydg.dm被检出为PoisonCake.a(毒蛋糕),在运行时会被重定向到/system/bin/dm。该病毒会注入Phone进程,拦截短信和发送短信,此外窃取手机信息并上传至远程服务器,联网下载文件,实现自我更新,给用户手机造成极大的危害。

1.5获取手机Root权限

恶意代码通过自解密代码中的固定字符串,在本地生成文件/data/data/com.joy7.apple.appstore/files/prog16_b*/b.zip

/data/data/com.joy7.apple.appstore/files/prog_om*/onem.zip*号为生成文件的类实例化时传入的参数),解压释放提权文件并私自对用户手机进行提权,并返回exitcode来判断是否提权成功,然后删除提权文件。

相关代码如下图所示:

13

本地生成的提权文件截图如下:

1.6篡改启动脚本,重定向恶意应用到系统目录

程序私自Root用户手机后,执行创建的shell脚本,替换系统文件,将恶意APK以及相应的库文件重定向到系统目录下并通过am start –n am startservice命令启动运行恶意程序,通过.sys.arrt执行+ia命令将恶意APK锁定在系统目录下。用.sys.irf文件替换install-recovery.sh脚本实现.nbwayxwzt.360assholedm文件(毒蛋糕核心模块)在系统启动时后台运行。

Shell脚本部分截图如下:

17

1.7上传用户信息到服务器

恶意程序还会将用户的设备信息 IMEIIMSIMAC地址、linux版本、包名、城市和语言,以及设备Root状态,/system/bin/dm文件是否存在等信息进行des加密。 通过网址http://115.28.191.170:8080/WZDatasServer/RecordInfo上传到服务器上。代码如下图所示:

19

20

21

 二、总结

Root病毒下载器的出现,折射出当前日渐严峻的恶意代码对抗形势。通过对该Root病毒下载器的分析,以及对各类恶意代码攻击行为的长期关注,可以初步总结目前病毒发展有如下趋势:

1、 恶意代码作者逐渐擅长病毒伪装手段,通过伪装正常应用首先进入用户终端,躲开部分纯静态分析技术的杀毒软件的检测,顺利运行后再联网下载实际恶意子程序并加载运行,进而对用户终端实施各类恶意行为,给用户带来极大的伤害和困扰。

2、 更多Root类病毒的涌现,通过私自静默为用户系统提取Root权限而防止自身病毒被卸载,这给安全软件的病毒查杀工作带来了极大的困难。希望ROM厂商能更多与安全厂商进行深度合作,保护用户终端系统,加强对恶意Root行为的识别和抵制,从根源上保护用户安全。

3、 恶意代码越来越注重自身程序的防护,通过使用第三方的代码混淆或加固服务,对自身病毒进行加强以对抗分析,进一步躲避杀毒软件的查杀;强烈建议代码混淆厂商以及加固厂商在提供服务时,加强对服务对象的审核环节,拒绝为病毒提供任何混淆或加固服务,进一步从源头遏制病毒的发展。

针对此类Android病毒,AVL Pro和猎豹安全大师已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您,请不要在非官方网站或者不知名应用市场下载任何应用。

安天AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布一些移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:http://blog.avlyun.com/?p=2849

文章分享地址:

微信二维码

发表评论

电子邮件地址不会被公开。 必填项已用*标注