Monthly Archives: 十一月 2014

Xposed恶意插件可自动安装激活

Post by Gandalf

概述

AVL移动安全团队在之前的《Xposed恶意插件》一文中分析了一个Xposed恶意插件,但是由于Xposed模块需要手动勾选重启后才能生效,导致应用场景有限。之后网友MindMac提供了一个可自动安装激活的Xposed恶意插件demo(需Root权限),以下是对此恶意插件的详细代码分析。

详细分析

安装开启该demo后在后台会自行安装Xposed,并勾选自身AutomaticXposed,之后自动重启系统使模块激活生效:1 启动样本即进入Xposed的安装和激活: 2

检查是否安装了Xposed

首先检查是否安装过Xposed,若未安装则安装样本内嵌的Xposed。 3

静默安装Xposed插件

释放Xposed安装apk到sdcard: 4 获取su权限,通过pm来静默安装Xposed: 5

自动激活Xposed插件功能

启动Xposed的InstallService服务,通过Intent参数设置“Enable module”激活样本:6此服务原本实际上并不含有Xposed插件,属于作者重打包添加,所以此处demo的激活方式只适用于未安装Xposed的手机,若已安装则无法生效。

修改内嵌子包,添加InstallService激活插件并重启动系统

样本内嵌子包属于Xposed框架的安装包,但作者修改过,添加了一个InstallService用来激活插件以及重启动系统。

包结构主要差异对比,上为原版Xposed框架安装包,下为样本内嵌Xposed:78

作者修改过的XposedInstall添加了InstallService,并使其导出以至于可以被外部调用:9

服务运行之后首先检查手机系统版本和Xposed版本的兼容性,之后则设置勾选插件、重启系统激活插件: 10

复现原版Xposed的正常启动流程,因是样本直接激活没有通过正常的Xposed启动,故需如此:11

调用原版ModuleUtil类的setModuleEnabled方法。修改Xposed配置文件,设置插件可用: 12

配置文件位于:/data/data/de.robv.android.xposed.installer/shared_prefs/enabled_modules.xml,将样本包名“com.mindmac.xposed”置值为“1”:13

原版ModuleUtil类的updateModulesList方法 给/data/data/de.robv.android.xposed.installer/conf/modules.list文件写入样本完整路径: 1415

配置完成之后,重启系统以便使设置生效:16

总结

该样本虽然只是一个demo,但实现了自动安装Xposed及其插件,并自动勾选重启激活插件的功能。但若被恶意代码利用,可能会导致更严重的损害,请谨慎使用。

不过该样本目前只适用于未安装Xposed的手机,已经安装Xposed后则无法激活,而且内嵌的Xposed属于重打包需要另外添加模块。如果已经安装了Xposed,在Root权限下通过修改Xposed的配置文件来进行激活会更合适。

最后感谢MindMac 对AVL Team的关心和帮助,用户可以使用AVL Pro对此类工具进行检测。

附:网友MindMac提供的demo来源:https://github.com/MindMac/XposedAutomation

转载请注明来自 http://blog.avlyun.com/

NFC手机:攻破交通卡

Post by markseven

AVL移动安全团队最近发现一款利用NFC手机攻击交通卡的恶意软件。将该款恶意软件安装在NFC手机中,窃贼只需将此手机轻轻靠近圣地亚哥交通卡(bip!-card)即可任意篡改卡中的余额。这种攻击方式有可能被黑客应用到其他IC卡攻击上,对其进行盗刷或其他恶意行为。 封面图2

NFC手机提供简单触控式的解决方案

NFC是Near Field Communication缩写,即近距离无线通讯技术。NFC手机是指带有NFC模块的手机,可以应用在生活的很多方面,比如快速获取公交车站站点信息、公园地图等信息、门禁控制、本地支付等等。NFC手机提供了一种简单触控式的解决方案,可以让用户简单直观地交换信息、访问内容和接受服务。

NFC手机被恶意软件利用

NFC手机在为我们提供许多生活便利的同时,手机恶意软件开发者也早已瞄准NFC手机,读取非接触式IC卡信息并篡改卡中的数据,可能会给用户资金安全造成威胁。

安天AVL移动安全团队最近发现了一个专门利用NFC手机攻击圣地亚哥交通卡(bip!-card)的恶意软件。圣地亚哥交通卡(bip!-card)属于非接触式IC卡,而且已被破解,因此NFC手机可对此卡进行数据读写操作。该恶意软件正是利用这一点,在NFC手机中安装该恶意软件后即可读取该交通卡信息,同时向交通卡的扇区中写入数据,任意篡改余额信息。

详细分析

开启手机NFC功能

安装了该恶意软件后,程序首先开启手机NFC功能。 1

图1 初始化NFC功能

篡改交通卡余额

由于该圣地亚哥交通卡的key及金额扇区已被破解泄露,程序可以使用其特定的key对交通卡的数据进行读写操作。2 3 4

图2 对交通卡进行读写操作

根据上述key和数据信息,最后计算得出修改余额为$10,000(通常在实际金额计算中都会保留小数点后两位,所以这里10,000实际是$100.00)。

5

图3 修改交通卡余额

该程序还可以显示该交通卡的余额信息。 6

图4 读取交通卡余额信息

背景介绍

由于该圣地亚哥交通卡的key及金额扇区已被破解泄漏,目前在git上已经出现了对此交通卡的POC(Proof of concept)。详情请参见:https://github.com/elechantelepate/bip_hack

安全建议

交通卡被未经授权的人使用有恶意软件的NFC手机任意读取信息并篡改余额。芯片银行卡也存在着此类安全隐患,比如NFC手机能轻松读取芯片银行卡卡号、身份证号及近十次的交易记录。NFC技术、非接触式IC卡确实给我们带来极大的便利,但其安全性也亟待考验。

安天AVL移动安全团队建议:

1 NFC提供的是一种非接触式的通信方式,用户敏感信息有被非法获取的可能。建议持卡人妥善保管好交通卡、银行卡等,勿让其离开自己的视线。或使用屏蔽NFC的安全卡套,加强卡片的自我保护。

2 在使用手机的NFC功能之前,需要事先使用手机杀毒软件AVL Pro,检测手机中是否安装有恶意软件,以免个人信息和资金被盗取。

转载请注明来自 http://blog.avlyun.com/