Monthly Archives: 三月 2016

Client病毒已感染超7万人 暗扣费并频弹广告

恶意木马病毒横行,您的钱包还hold得住吗?猎豹移动安全实验室与安天AVL移动安全团队于2015年下半年,共同截获一款名为Client的木马病毒,并且对该病毒进行持续监测。通过进一步关注,我们发现该病毒在2016年1月呈爆发式增长,病毒样本量以及传播范围迅速扩大。截止到目前,仅猎豹移动安全实验室与安天AVL移动安全团队监控到的该病毒样本量已达8万多个,累计感染全国超过7万的用户终端设备!
1-1

一、Client病毒发展态势分析

1.1国内感染量超7万(每日活跃设备量),且仍在增长。

2-2

1.2 感染范围遍布全国,集中于沿海地区,如山东,浙江,广东等地。

3-3

1.3 Android4.4用户受灾最严重

感染Client病毒最多的设备系统版本为安卓4.4,占总感染量的70%以上,部分5.0系统也受到影响,但占比不到1%。
4-4

1.4 以色情视频软件传播为主

该病毒主要通过色情视频软件传播,诱惑用户下载安装。猎豹移动安全实验室与安天AVL移动安全团队监测发现,多家广告平台都对带有病毒的色情视频软件进行推广。
5-5
6-6

二、Client病毒三宗罪

2.1 暗自扣费

通过对该病毒的一系列分析, 猎豹移动安全实验室与安天AVL移动安全团队发现,该病毒会在用户的手机后台偷偷发送增值业务订购短信,并拦截扣费短信回执,给用户造成金钱损失,同时用户无法知晓自己的手机已被恶意扣费!

2.2 频弹广告并强制安装

Client病毒会在被感染的手机中加载大量恶意软件推广广告,并强制用户安装,严重消耗用户手机流量,给用户带来数量更多、危害性更大的恶意应用。

2.3 Root提权

此外,Client病毒可以对用户手机进行提权操作,卸载第三方root管理工具,然后向用户系统中注入恶意软件,致使病毒难以被清除。最可怕的是,该病毒可以通过技术手段将自己加入国内某手机安全软件的白名单,从而逃避查杀。

针对Client等类似恶性病毒,猎豹移动专门推出了针对各种顽固root病毒的专杀工具,可一键查杀该木马,感染该病毒的用户请下载查杀工具予以清除。下载链接:http://cn.cmcm.com/activity/push/cm/stk/1/

三、Client病毒恶意行为详解

病毒后台订购手机增值业务,给用户造成一定的经济损失;模拟加载广告,使用户消耗大量的流量;以色情的方式弹窗诱导用户安装携带的恶意软件;对用户手机进行提权,卸载第三方root管理工具,通过root权限后向用户系统注入恶意软件、向杀软数据库白名单插入恶意软件信息,绕过杀软查杀,将su文件释放到系统/system/bin/、/system/xbin/、/system/etc/目录伪装,释放覆盖系统install-recovery.sh开机脚本,通过chattr +i指令防止删除。

3.1 后台订购增值业务

Client病毒首先通过服务器下载并动态加载dex恶意文件,从服务器获取扣费短信内容等信息,后台自动发送短信,进而在用户不知情的情况下达到恶意扣费的目的。

下载并加载dex

从服务器(http://dg.ogengine.com/wmserver/WMUpdate)获取dex下载地址:http://oss.aliyuncs.com/wmapp/update/d_data_wimipay.dat
7-7

获取感染设备的本机号码:

通过访问http://paysdk.ogengine.com/wimipay/getPhoneUrl获取短信服务器地址:http://112.124.55.70:8018/init/moburl,进一步访问获取受感染设备的手机号码。
8-8

发送恶意订购短信:

第一次访问:http://paysdk.ogengine.com/wimipay/Init(此服务器返回下一次访问的扣费服务器地址)
第二次访问:http://121.199.6.130:9093/control/Windows(此服务器返回扣费确认信息内容以及下一次访问的扣费服务器地址)
第三次访问:http://121.199.6.130:9093/control/Control(此服务器返回SP号码以及扣费短信内容信息)。
通过上述访问操作后,Client病毒进而向10658008101825955 SP号码发送业务订购指令(如下图)。这一系列操作将直接造成用户话费损失,同时拦截回执短信导致用户无法知晓被恶意扣费的情况。
9-9

扣费执行结果提交到服务器:http://121.199.6.130:9093/ldysNew/data2

3.2 诱导用户安装恶意软件

该病毒assets文件夹中包含另一个恶意软件,在用户安装Client病毒后弹出带有相关提示的确认安装界面,以色情的方式诱导用户安装该自带恶意应用程序。
携带的恶意软件:
10-10

以色情的方式诱骗用户安装携带的恶意APK:
11-11
12-12

3.3 病毒后台加载大量广告,并模拟点击

与恶意扣费模块类似,Client病毒将访问恶意主服务器下载并加载另一个dex模块,进而进行后台广告信息获取与推送,并模拟点击等操作,造成用户大量的流量损失。
13-13

后台模拟操作:

从服务器获取广告服务器和操作指令,后台访问广告服务器,并进行模拟浏览器点击、后退等操作。
14-14
15-15

3.4 对用户手机进行提权操作

病毒运行后加载libMeggaRun.so文件,此文件释放加密的.dex文件到内存中。dex文件获取手机信息提交到服务器获取ROOT工具及提权方案,对手机进行提权操作。提权成功向用户系统注入恶意软件、向某杀毒软件的白名单中插入恶意软件信息,进而达到绕过杀软查杀的目的。与此同时,该病毒还会释放覆盖系统install-recovery.sh开机脚本,通过chattr +i指令防止删除。

释放加载dex:

16-16
17-17

Root用户手机:

dex下载加密的root提权工具压缩包并根据不同的手机设备下载对应的ROOT工具下载地址和方案:
http://abcll0.us:9009/gamesdk/doroot.jsp
http://my2014.us:9009/gamesdk/advert.jsp
18-18

Root工具截图如下。Root成功后将会执行多个恶意脚本,对用户手机系统造成严重的损害。
19-19

释放并执行恶意脚本:

病毒向手机系统中释放并执行恶意软件(如下图),使用户不能正常卸载。
20-20

3.5 提权后执行一系列恶意操作

病毒卸载第三方ROOT管理工具、替换开机脚本,而且为了避免系统空间不足,直接删除用户的系统应用,对自身应用和ROOT管理工具进行防删除操作(如下图), 使用户很难彻底删除病毒,并且通过在某杀软的白名单中插入自身信息以达到绕过该杀软查杀的目的。至此,Client病毒便可以后台静默下载各类软件以牟取巨大经济利益。

卸载其他Root工具

21-21

替换开机脚本

释放覆盖系统install-recovery.sh开机脚本,通过chattr +i指令防止删除
22-22
23-23

卸载用户系统原生应用

删除系统Maps、YouTube等应用,为病毒提供更多的系统空间。
24-24

将自身信息加入国内某杀软白名单

病毒将自身信息加入国内某杀毒软件的白名单库,从而绕过杀毒软件的查杀。
25-25

静默下载并安装各类软件

病毒启动后,读取原始应用assets里面的data.dat文件,在native方法里面的获取data.dat病毒jar包,然后访问数据库中的下载地址私自下并静默安装其他应用,给用户造成大量的流量消耗。Client病毒作者通过该恶意手段进行应用推广,以获得持续的经济收入。
病毒通过监听系统广播启动:
26-26

GuardDatabase数据库结构:
27-27

针对Client等类似恶性病毒,安天AVL Pro和猎豹安全大师已经实现全面查杀。猎豹移动安全实验室和安天AVL移动安全团队提醒您,请不要在非官方网站或者不知名应用市场下载任何应用。

猎豹移动安全实验室专注于分析不断涌现的新型移动端病毒,力图为用户提供更为可靠和快速的病毒查杀方案。为了更直接的面向用户,猎豹移动安全实验室专门成立了顽固木马专杀小组。如果您遇到任何无法清除的新病毒,请加入猎豹移动专杀反馈群:3383292337,第一时间获得详细病毒分析及解决方案!

2014年,猎豹与安天AVL移动安全团队达成引擎战略合作。安天AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注安天AVL移动安全团队的微信公众号AVLTeam,获取更多移动安全相关资讯。转载请注明来源:http://blog.avlyun.com/?p=2900

联系方式

安天AVL联合猎豹首曝“多米诺”恶意应用市场APP

曾经,有一款恶意APP摆在我面前,我没有认出来,

等到我下载了之后才后悔莫及,

最痛苦的事莫过于,

直到联网运行了之后,我才知道,

它已经不是一款单纯的恶意APP,

而是一款会偷偷下载安装更多病毒的应用市场APP!

简直超出了我对恶意APP的认知,可怕!

我的流量呢?我的话费呢?

坑爹!

上述提到的“会偷偷下载安装更多病毒的应用市场APP”,正是近期被安天AVL移动安全和猎豹移动安全实验室共同截获的一款Root病毒下载器。该应用行为极其狡猾,为躲避杀毒软件的查杀,伪装成正常应用市场APP。

最为可怕的是,其会产生多米诺效应,一旦有用户不慎安装中招,该病毒在受感染手机首次连接网络后,将私自下载恶意子程序并加载运行,偷偷为用户手机提取Root权限并大量安装恶意应用到手机系统目录中,造成用户流量的严重损耗!

此外,这些下载的恶意应用将被全部自启动,其中包含诸如毒蛋糕(该病毒的详细分析请参看:http://blog.avlyun.com/?p=1932)等超高危害病毒,通过私自发送恶意扣费短信进而造成用户的资费损失,并且用户无法卸载清除!

安天AVL移动安全和猎豹移动安全实验室深度分析后发现,该病毒主要含有如下恶意行为:

1、启动后立即静默下载恶意子程序并加载运行;

2、 解密子程序中的资源文件,获取下载应用url列表并私自静默下载大量恶意应用到用户手机中,同时获取提权文件,并私自对用户手机进行Root操作;

3、运行shell脚本将下载的恶意应用重定向到系统目录下,并启动新下载的恶意程序; 

4、 将用户设备的Root状态,是否感染毒蛋糕高级恶意程序和设备信息以及IMEI IMSImac地址,系统信息上传到服务器。

1 病毒恶意行为路径图

 一、详细分析 
1.1恶意程序信息

程序包名:com.joy7.apple.appstore,程序图标如下:

通过程序图标,可以看到该病毒完全模仿了iOS应用商店名称与图标。其包含的恶意程序包结构如下图:

1.2下载恶意子程序

程序启动后,通过监听用户开机启动、解锁、网络变化情况来启动恶意程序功能模块,代码如下图所示:

4

恶意程序功能模块启动后,通过解密字段获取恶意子包的下载地址http://download.c1d2n.com/rt/1208ggnn.mm和程序名称,下载后储存在主程序的cache目录下面,并通过反射调用com.power.RtEngineApi类的action方法启动程序,代码如下图所示:

5

6


1.3后台推送大量恶意应用,联网更新控制指令

通过action方法解密主程序Assets目录下的资源文件data0,并解析获取推送APK和更新指令的网址。解密后得到的部分数据截图如下:

7

联网下载APKSD卡的.rtkpa隐藏目录下,并将APK中的库文件也解压放到该目录面。文件截图如下:

推送的APK大部分为恶意应用,如下表所示:


恶意程序访问更新指令的网址,解析得到启动应用的最新指令。指令结构如下:包含程序包名和组件名以及开关变量。

1.4解密释放核心文件

恶意子程序通过本地自解密释放.ci.036.sv.qq.sys.irf.sys.us.sys.attr.sysbinx.ydg.dmb.ziponme.zip文件。

本地自解密释放生成.ci.036,设置.ci.036文件保存路径。代码如下图所示:

将自解密的原始数据写入.ci.036,代码如下图所示:

12

其余文件也都采用了类似的解密方法。其中b.ziponme.zip为提权文件,.ci.036.sv.qq.sys.us.sys.attr文件为ELF可执行文件,运行时启动相应守护进程启动shell环境并执行传入的shell脚本指令,.sys.irfshell脚本文件用于替换install-recovery.shsysbinx.ydg.dm被检出为PoisonCake.a(毒蛋糕),在运行时会被重定向到/system/bin/dm。该病毒会注入Phone进程,拦截短信和发送短信,此外窃取手机信息并上传至远程服务器,联网下载文件,实现自我更新,给用户手机造成极大的危害。

1.5获取手机Root权限

恶意代码通过自解密代码中的固定字符串,在本地生成文件/data/data/com.joy7.apple.appstore/files/prog16_b*/b.zip

/data/data/com.joy7.apple.appstore/files/prog_om*/onem.zip*号为生成文件的类实例化时传入的参数),解压释放提权文件并私自对用户手机进行提权,并返回exitcode来判断是否提权成功,然后删除提权文件。

相关代码如下图所示:

13

本地生成的提权文件截图如下:

1.6篡改启动脚本,重定向恶意应用到系统目录

程序私自Root用户手机后,执行创建的shell脚本,替换系统文件,将恶意APK以及相应的库文件重定向到系统目录下并通过am start –n am startservice命令启动运行恶意程序,通过.sys.arrt执行+ia命令将恶意APK锁定在系统目录下。用.sys.irf文件替换install-recovery.sh脚本实现.nbwayxwzt.360assholedm文件(毒蛋糕核心模块)在系统启动时后台运行。

Shell脚本部分截图如下:

17

1.7上传用户信息到服务器

恶意程序还会将用户的设备信息 IMEIIMSIMAC地址、linux版本、包名、城市和语言,以及设备Root状态,/system/bin/dm文件是否存在等信息进行des加密。 通过网址http://115.28.191.170:8080/WZDatasServer/RecordInfo上传到服务器上。代码如下图所示:

19

20

21

 二、总结

Root病毒下载器的出现,折射出当前日渐严峻的恶意代码对抗形势。通过对该Root病毒下载器的分析,以及对各类恶意代码攻击行为的长期关注,可以初步总结目前病毒发展有如下趋势:

1、 恶意代码作者逐渐擅长病毒伪装手段,通过伪装正常应用首先进入用户终端,躲开部分纯静态分析技术的杀毒软件的检测,顺利运行后再联网下载实际恶意子程序并加载运行,进而对用户终端实施各类恶意行为,给用户带来极大的伤害和困扰。

2、 更多Root类病毒的涌现,通过私自静默为用户系统提取Root权限而防止自身病毒被卸载,这给安全软件的病毒查杀工作带来了极大的困难。希望ROM厂商能更多与安全厂商进行深度合作,保护用户终端系统,加强对恶意Root行为的识别和抵制,从根源上保护用户安全。

3、 恶意代码越来越注重自身程序的防护,通过使用第三方的代码混淆或加固服务,对自身病毒进行加强以对抗分析,进一步躲避杀毒软件的查杀;强烈建议代码混淆厂商以及加固厂商在提供服务时,加强对服务对象的审核环节,拒绝为病毒提供任何混淆或加固服务,进一步从源头遏制病毒的发展。

针对此类Android病毒,AVL Pro和猎豹安全大师已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您,请不要在非官方网站或者不知名应用市场下载任何应用。

安天AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布一些移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:http://blog.avlyun.com/?p=2849

文章分享地址:

微信二维码