当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计

By | 2016年12月6日

   “明修栈道,暗度陈仓”的典故许多人都听说过,该典故出自楚汉争霸时期,刘邦意图进入关中,需要攻下关中咽喉之地——陈仓。韩信献出一计:表面上浩浩荡荡地修复通往陈仓的栈道以迷惑陈仓守将,暗地里派兵从小道偷袭陈仓。最终刘邦采用此计一举夺取关中之地,为后续争霸天下铺路。

   通过表面的行动迷惑敌人,隐藏自己的攻击路线,暗地里实施真正的攻击,这一直是战争中的常用手法。如今这一手法却被恶意开发者学了去,在病毒中使用该手法迷惑感染用户,攻击用户手机于无形之中。

   近期,安天AVL移动安全和猎豹移动安全实验室捕获一种病毒程序” Camouflage”,该病毒正是利用暗度陈仓之计攻击用户手机:根据远程控制指令弹出锁屏界面,强制锁定用户手机屏幕,锁屏界面伪装成内存清理界面以迷惑用户;实际在在锁屏期间,该病毒会私自拨打扣费电话、发送扣费短信并删除通话、短信记录,在用户毫不知情的情况下使其承受资费损失。

   除此之外,该病毒还会联网下载恶意子包,利用子包联网获取多种root工具对用户手机提权,一旦提权成功立即删除并替换系统root工具,使自身成为手机中唯一具备root权限的应用。与此同时,该病毒通过联网获取相关推送数据,向用户手机推送广告,私自下载同类恶意应用并安装运行,严重影响用户手机使用体验。为防止自身被卸载,该病毒会监控手机中正在运行的应用包名,如果与指定杀毒软件的包名重合,则立即卸载该应用。

恶意程序运行流程图

1

病毒传播途径和感染数据

传播途径

   通过分析大量Camouflage病毒家族样本,我们发现该类病毒主要通过重打包成游戏类、休闲类应用进行传播,部分应用名称如下图所示。
0

用户感染数据

   在2016年10月1日至12月1日期间, 该病毒累计感染518,311次,其日均感染事件数如下图所示: 2

   统计该病毒的感染区域信息,我们发现感染情况最严重的是广东省,其次是四川省、北京市: 3

详细分析

推送广告和其他同类恶意应用

   该病毒运行时在本地解密url和网址后缀并拼接,以获取广告和其他恶意应用推送数据的下载地址。
4

   网址后缀及其对应功能如下表所示:
表1_副本

   广告数据:
5

   推送的应用数据:
6

   该病毒会不断获取推送信息和下载应用,并将这些文件保存在SD卡的指定目录下。
7

   在获取推送信息后,该病毒会定时以广告弹窗、通知栏提示、安装快捷方式和提示用户安装的方式进行广告推送。
8 9

   推送的应用被安装后会通过am命令启动:
10

联网下载恶意子包

   该病毒在推送广告和恶意应用的同时,本地解密URL后联网获取子包相关的数据和下载地址。   
   联网获取的恶意数据:
11   
   解密后数据如下:
12   
   该病毒私自下载恶意子包文件并将其保存到SD卡/.w/目录下(手机中文件夹名前带“.”的为隐藏文件夹,可以使用shell命令“ls -a”查看),文件名称为119.tmp,解密后即得到子包文件,最后利用反射调用子包的MS服务运行。
13 14

私自root提权

   恶意子包运行时会联网获取多种root方案和root工具的下载地址并下载,私自对用户手机进行提权。攻击者通过尝试多种root方案和工具最终达到root用户手机的恶意目的。   

   联网获取的恶意数据:
15

   解密后的数据为:
16

   下载的文件说明:
表2_副本

   Testcomn.zip文件解压后里面包含多个文件,文件名与功能如下: 表3_副本

替换系统文件

   恶意子包在成功提权后,通过postsh脚本命令删除系统原本的权限管理文件,并将自己的权限管理文件以及启动脚本推送到指定目录下,导致用户无法获取root权限。   
   删除系统原本的权限管理文件:
17   
   复制手机自身的权限管理文件到系统目录中:
18   
   在启动脚本中以守护进程的形式启动指定目录下的提权文件:
19   
   在获取Root权限后,该病毒还会将子包推送到系统目录下,导致用户即使成功卸载该病毒主程序,也会继续受到该病毒恶意行为的影响。
20 21

私自扣费

   恶意子包在运行时,该病毒会联网获取扣费指令信息并下载锁屏图片,强制置顶锁屏动图对用户手机进行锁屏,在锁屏时后台私自执行拨打扣费电话、发送扣费短信等恶意行为。在发送短信和拨打电话后,该病毒会将相关短信、通话记录删除,使用户完全无法感知资费消耗。   

   联网获取的扣费指令信息:
22   

   对扣费指令信息进行解密后,解密信息如下:
23   

   该病毒伪装成清理内存的界面,对用户手机进行锁屏:
24_副本_副本   

   对用户手机锁屏后,该病毒会私自在后台发送扣费短信:
25_副本   

   监听用户接收的回执短信并删除相关的短信记录:
26   
  
   用户手机被锁屏后私自拨打扣费的sp号码:
27_副本 28_副本   

   监听通话状态,解锁屏幕时结束通话并删除通话记录: 29_副本

卸载指定程序和杀毒软件

   恶意子包在运行时会根据指定包名列表–UPKEY中的包名与正在运行的程序对比,若包名相同则将其禁用,后续通过命令直接卸载该应用。包名列表中包含了与该病毒相似的恶意应用,联想到该病毒下载并安装其他恶意应用的行为,我们合理推测这部分恶意应用就是该病毒下载的应用,在完成推广行为或恶意行为之后进行卸载。此外我们在该病毒的代码中也发现了许多知名杀软的包名,该病毒一旦检测到这些杀毒软件正在运行,会立即禁用并卸载,以逃避杀毒软件的查杀。

   UPKEY中的包名列表:
30_副本

   病毒代码中的包名列表:
31 32

下载相关文件和数据

   在执行恶意行为的过程中,该恶意程序会下载大量文件和数据,以达到执行恶意行为的目的。
33_副本

总结

   Camouflage病毒通过重打包游戏类、休闲类应用进行传播,从感染情况来看,这种伪装手段带来了惊人的传播量。通过分析发现,该病毒主程序本身代码恶意性不强,但是在进入感染手机后通过解密、拼接URL的形式下载恶意子包、推广数据以执行其主要恶意攻击行为,行为方式非常隐蔽。另外,该病毒以监控运行程序的方式对手机中的杀毒软件进行卸载,以此逃脱杀毒软件的查杀。

   为成功root手机,该病毒会下载多种root方案和工具对手机进行提权,并替换系统的提权文件,使得自身成为手机中唯一具有root权限的应用,在一定程度上避免自身被卸载,同时为后续的恶意扣费的行为做好铺垫。

   该病毒在执行私自恶意扣费行为时,通过置顶一个内存清理的页面来欺骗用户,并在扣费完成之后,删除对应的短信、电话记录,使用户在毫无感知的情况下蒙受较大的资费损耗。

安全建议

   针对Camouflage系列病毒,AVL移动反病毒引擎合作方产品和猎豹专杀工具已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:

  • 请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;
  • 当发现手机中突然出现不知来源广告或页面时,请立即下载安全软件进行查杀;
  • 建议使用手机安全软件,并保持定期扫描的良好习惯。

   安天移动安全公司成立于2010年,是安天实验室旗下专注于移动互联网安全技术和安全产品研发的公司。安天移动安全公司核心产品体系为AVL Inside移动反病毒引擎和AVL Insight移动威胁情报平台。   
   AVL Inside曾以年度最高平均检出率荣获国际权威测评机构AV-TEST颁发的“移动设备最佳防护”奖项,这是亚洲安全厂商首次获此殊荣。AVL Insight是国内首个移动威胁情报大数据平台,主要用于呈现移动威胁的高价值情报信息,通过对移动威胁的全面感知能力和快速分析响应能力,提供对抗移动威胁的预警和处置策略。         
   目前安天移动安全公司已与OPPO、VIVO、小米MIUI、阿里云YunOS、金立、步步高、努比亚、乐视、猎豹、LBE安全大师、安卓清理大师、AMC等国内外50多家知名厂商建立合作,为全球6亿终端用户保驾护航。

   转载请注明来源:http://blog.avlsec.com/?p=4179

   更多技术文章,请关注AVL Team官方微信号 AVL-team二维码

发表评论

电子邮件地址不会被公开。 必填项已用*标注