Monthly Archives: 四月 2015

提权广告件PermAd分析报告

Post by kllei

近期,AVL移动安全团队在GooglePlay应用市场发现一款名为POPBIRD的游戏应用(现已下架),一旦安装,该应用就会立即弹出三只活泼可爱的小鸟图标,迅速调动用户启动该应用的欲望。 1

图1 应用图标

该应用打包了恶意提权广告件PermAd,该应用运行后立即弹出开始界面,在颜色绚丽的开启界面背后其实暗藏各种流氓性质的恶意行为。具体恶意行为如下:

  • 自动下载提权工具,提升应用权限。
  • 开机自启动。
  • 监控相关恶意子包应用,提升恶意子包权限。
  • 上传用户系统信息。
  • 恶意子包进行自我更新,推送第三方广告。
  • 防止被卸载。

2

图2 应用开启界面

一、 恶意代码整体运行流程

以下介绍恶意提权广告件PermAd的详细运行流程。 3

图3 PermAd的详细运行流程

该应用运行时会联网下载提权应用.perm.apk,.perm.apk被DexClassLoader加载执行后会释放多个文件并提升应用权限。以下列举被释放的文件及其信息: 4

被释放文件的运行流程如图4所示。 5

图4 被释放文件的运行流程及作用

二 提权模块执行流程

6

图5 提权模块执行流程

1 运行后,应用会联网访问http://****/RootsdkUpdate/Index,获取提权应用的最新地址,并下载保存在指定地址。

2 DexClassLoader .perm.apk后反射调用相关方法释放文件并提权。

3 执行提权回调命令:

  • 写入命令进启动文件install-recovery.sh,达到开机启动的目的。
  • 释放.dler.apk文件,更改权限,静默安装应用com.android.service.utc0
  • 复制释放的文件到相关目录提升权限并执行.rt_daemon,进行后台监听。

7 8

图6 后台监听

创建一个线程监听,每3.6秒监听进程,若无com.android.service.utc0进程则读取并执行.exeam文件里的am命令启动com.android.service.utc0 9

4 执行/system/xbin/.rt_bridge写入am命令到/data/local/.exeam文件,添加包的MD5到/data/local/.bridge文件, Socket方式向.rt_daemon发送请求。 99

三 防卸载模块执行流程

.perm.apk释放.catr.apk(实际是ELF文件),运行锁定相关文件, 锁定文件后即便卸载应用后也不能删除。 10 使用lsattr指令可以查看该文件隐藏属性,相对其他文件多了ia两个参数,使之不能被删除: 12

四 释放的DownLoader子包执行流程

1 .rt_daemon am 方式执行com.android.service.utc0/com.example.demo10.WakeActivity 13

2 联网访问指定网址以获得DownLoadr应用最新地址,在测试中发现该DownLoader还在更新。 14

3 自我更新,并释放/files/.catr.apk,锁定文件,防止被删除。

4 访问特定网址获取广告列表,并进行广告推送。

五 总结及安全建议

该应用释放的子包能通过install¬-recovery.sh启动,在后台监听使子包一直处于运行状态,并通过chattr锁定自身/data/app中的应用,通过应用管理卸载后依旧存在,开机后通过.rt_daemon使用am命令启动,达到无法轻易被卸载的目的,只能通过先使用chattr解除权限再使用rm来完成删除。 16 此外,该应用还会删除su文件,导致之前Root过的手机都无法获取Root权限。

普通用户很难正常卸载此类恶意应用。因此,AVL移动安全团队建议大家在使用新安装应用前,安装并开启手机安全软件AVL Pro进行全面扫描,避免开启恶意应用,远离恶意应用威胁。

AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布一些移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:http://blog.avlyun.com/?p=2228

文章分享地址:

微信二维码