Monthly Archives: 九月 2016

安天AVL联合小米MIUI首擒顽固病毒“不死鸟”

  不死鸟作为希腊神话中的一种怪物,拥有不断再生的能力,每当寿限将至时,它会在巢穴中自焚,并在三天后重新复活。就在近期,安天AVL移动安全团队和小米MIUI安全中心发现了病毒界的“不死鸟”,其顽固程度之深,用户很难通过常规的卸载手段清除该病毒。

  这款病毒名为Fushicho,一旦运行,它首先会通过一系列手段攻击手机的“免疫系统”:联网下载root工具对用户手机进行提权处理,进一步根据文件中的sql语句将自身插入某知名杀毒软件白名单中,并通过“pm disable”命令禁用某知名杀毒软件,致使手机安全防护功能全线崩溃。

  接下来Fushicho病毒会替换系统启动脚本文件,实现开机自启动并获得root权限。而为了使其自身成为手机中唯一具有root权限的应用,该病毒会删除手机中其他root程序、su文件。除此之外,由于病毒应用被锁在系统目录下,用户很难通过常规卸载手段清除该病毒。

  至此,Fushicho病毒将紧紧扎根在手机中,像不死鸟一般难以消灭。同时该病毒将通过联网获取恶意扣费指令对手机进行长期的扣费并下载其他恶意扣费软件,使感染用户遭受巨大的财产损失。

  接下来,我们将对这只病毒界的“不死鸟”进行详细的解剖分析。

Fushicho病毒运行流程图

1_副本

详细分析

私自提权

  Fushicho病毒运行时加载本地Pxivuurauu.so文件,解密资源文件中的ico.png文件来释放子包oko.jar。子包释放后被动态加载,并在本地解密。Fushicho病毒获取到提权工具下载地址后下载并解密,获取提权工具包cab.zip,解压并加载其中的data.jar文件,对用户手机提权。

2_副本

  获取提权工具下载地址:

3_副本

  解压后的文件如下所示:

4_副本

  各文件功能及作用如下表所示:

5_副本

  提权工具包结构:

6_副本

将自身写入某知名杀毒软件白名单

  Fushicho病毒运行时解密root工具包中的ql文件获取将自身插入某知名杀毒软件白名单的sql语句,通过qlexec文件打开数据库并执行sql语句,将自身插入某知名杀毒软件白名单中来逃避检测。

ql文件内容如下: 7_副本 8_副本

删除提权相关文件

  Fushicho病毒在获得root权限后会删除手机中其他的root相关文件和apk程序,将下载提权工具包cab.zip中的su文件分别重定向到/system/xbin/.sysd,/system/bin/android.sys,/system/etc/android.sys,/system/etc/android.sys中。

  删除其他root权限:

9_副本 10_副本

  将su文件重定向到系统目录中: 11_副本

禁用某知名杀毒软件

  Fushicho病毒通过“pm disable”命令禁用某知名杀毒软件,将该软件停止使用,并隐藏图标和已安装应用列表中的展示,致使用户无法找到该应用也无法重新安装该应用。

12_副本

  为了验证该命令的效果,我们测试了一下:
  
  Step1:安装某知名杀毒软件,可以在已安装应用程序中看到该应用:

13_副本

  Step2:使用pm disable命令:

14_副本

  Step3:在已安装应用中查找该应用,已经找不到该应用了,说明该应用已被成功禁用:

15_副本

  Step4:用命令行工具查看data/app下的应用列表,可以看出该应用是存在的:

16_副本

  Step5:如果尝试在手机中再次安装该应用,提示已安装:

17_副本

替换系统脚本文件

  Fushicho病毒运行时会替换系统的启动脚本文件install-recovery.sh、install-recovery-2.sh,新的脚本文件将在手机启动后立即给Fushicho病毒赋予root权限。

18_副本

  脚本运行时以守护进程的形式启动对应目录下的.sys和android.sys文件。

19_副本

恶意扣费

  Fushicho病毒的扣费模块通过监听用户解锁、网络变化以及手机开机的系统广播启动,付费模块启动后联网获取付费短信数据和要拦截的短信关键字。并联网向hxxp:// www.mmchong[.]com上传用户设备信息,获取短信相关扣费短信数据。

20_副本

  扣费短信数据解密后如下,其中字段port、cmd对应的是要发送的号码和内容,字段hport、hcmd对应的是要拦截的号码和短信内容,Fushicho病毒通过以上字段进行恶意扣费而用户无法感知。此外Fushicho病毒还会拦截包含“银行”和“快递”关键字段的短信。在接收到包含msg字段的值的短信时还会自动回复短信或联网发送拦截的短信。

21_副本 22_副本

推送恶意应用

  Fushicho病毒运行时解密root工具包中的data0文件,通过解析文件中的指令将root工具包中的恶意应用推送到系统目录下并启动。在推送时将这些恶意应用加锁,并修改创建时间为2008-01-01 00:00,伪装成系统应用让用户难以察觉。

23_副本

  推送的恶意应用:

24_副本
25_副本

总结

  总体而言,Fushicho病毒一旦运行,将会通过攻击感染手机安装的杀毒软件来使整个手机的“免疫系统”形同虚设,并采取一列后续手段将其自身紧紧扎根于手机中,用户很难通过常规卸载手段来清除。此外,从上述攻击步骤可以看出,Fushicho病毒非常注重root权限,从自身提权,到删除其他root工具,再到替换系统启动脚本,使自身可以在系统启动的第一时间得到root权限。这一系列操作之后,Fushicho病毒成为系统第一个也是唯一一个有root权限的应用。 在保证“不死”的情况下,“不死鸟”(Fushicho)病毒将通过发送恶意扣费短信持续对用户的财产造成损害,危害极大。

安全建议

  针对Fushicho系列病毒,集成AVL反病毒引擎的MIUI安全中心已经实现全面查杀。安天AVL移动安全团队和MIUI安全中心提醒您:

        1. 请不要轻易root手机,否则您的手机将遭受巨大的安全风险;
        2. 请勿在非官方网站或者不知名应用市场下载任何应用;

  安天AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。AVL移动反病毒引擎致力于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前除了为小米MIUI输送安全能力外,也与其他众多知名厂商达成战略合作,为猎豹、阿里云YunOS、OPPO、VIVO、步步高、努比亚、LBE、安卓清理大师、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。

附录

C&C:

      hxxp://www[.]mmchongg[.]com
      hxxp://www[.]yggysa[.]com
      hxxp://abcll0[.]us:9009/gamesdk/doroot.jsp?
      hxxp://222[.]186.42[.]59:9900

转载请注明来源:http://blog.avlsec.com/?p=3788

更多技术文章,请关注AVL Team官方微信号

AVL team二维码