警惕!寄生靈捲土重來, 數十萬用戶遭殃

警惕!寄生靈捲土重來, 數十萬用戶遭殃

來自專欄安全客

一、背景

還記得2016年爆發的「寄生靈」手機病毒嗎?——那個貼著「替換系統文件」、「獲取手機Root許可權」、「惡意推廣色情扣費軟體」、「同時感染多個病毒」等標籤的感染量超過百萬的超級病毒,用戶一旦被感染,病毒將私自發送扣費簡訊造成資費的損失,頻繁推送廣告影響手機的正常使用。經過360核心安全團隊深入的跟蹤和分析,我們在近期發現了該病毒核心模塊的又一變種。該模塊的核心功能依然是惡意推廣色情及扣費應用軟體。這說明Android手機病毒為了提高防禦能力、繞過查殺、提升與殺軟對抗的能力,增加了更多強大的功能、手段更加高明、感染數量也不斷提高。

二、感染量統計

據360互聯網安全中心監測到的數據, 2018年該病毒平均月新增10W,累計感染量已達數十萬。

圖1:病毒感染量統計

三、關聯

2016年爆發的寄生靈手機病毒的行為主要有私自獲取手機Root許可權、惡意推廣軟體。該病毒與其他病毒一起通過色情應用傳播,通常用戶手機會同時被多個病毒感染,當用戶下載安裝這些應用後,病毒將嘗試多種方式獲取手機Root許可權,然後惡意下載安裝其他應用。寄生靈病毒包括難以刪除dtm、spm、idm、syssp等病毒文件。此病毒還採用了加密混淆、md5變化、使用已備案域名等方式來躲避查殺追蹤。

本次發現的病毒是寄生靈病毒的核心模塊idm、dtm、spm的又一變種,其核心功能依然是惡意推廣色情及扣費應用,以插屏、循環輪播的方式頻繁彈廣告且點擊之後下載其他更多應用軟體。不同之處在於,它將之前多個模塊的功能集成在一個模塊內,從而減少了對其他模塊的依賴;使用RSA演算法對敏感數據進行加密,隱藏伺服器地址。

四、樣本基本信息

MD5:1180a2691********dec5baca697361

路徑:/system/xbin/chmogd

危害:該樣本危害包括聯網上傳竊取用戶隱私;私自下載、靜默安裝應用,以插屏、循環輪播的方式頻繁彈廣告且點擊之後下載其他更多應用軟體。不但容易造成用戶手機流量損失,還影響用戶手機正常使用。

五、詳細分析

首先,我們梳理出病毒的主體功能和框架,如圖:

圖2:病毒框架

病毒主要分為三個模塊:

初始化模塊對啟動腳本和核心模塊進行一些初始化操作。啟動腳本首先提升病毒核心模塊的許可權,後啟動病毒核心模塊。病毒核心模塊執行聯網上傳竊取用戶隱私和私自安裝應用,完成病毒的核心功能。

  • 初始化模塊:

啟動模塊運行創建兩個線程:執行命令「mount -o remount,rw /system」,以可讀寫的方式載入/system分區,分別將/sdcard/.mnodir 路徑下的啟動腳本和病毒核心模塊拷貝到 /system/etc 和 /system/xbin 目錄下並修改為可執行許可權,最後刪除清理掉原 /sdcard/.mnodir 下的文件。

圖3:初始化模塊

(二)啟動腳本

執行supolicy命令對病毒核心模塊的執行模式修改為寬容模式後,啟動病毒核心模塊。改為寬容模式的目的是為了在運行時,程序依然有許可權執行它們想執行的那些動作。在Permissive模式下運行的程序不會被SELinux的安全策略保護。

(三)病毒核心模塊行為分析

  1. 判斷病毒核心文件是否存在

/system/bin/csbrislp/system/xbin/csbrislp/system/bin/culpxywg/system/xbin/culpxywg

這類文件在Root許可權下執行命令,獲取 /data/data 目錄下安裝程序的信息。病毒母包會在 /system/bin和/system/xbin 下創建這類文件,文件名不限於上述列表。

若上述文件不存在,則讀取/system/etc/.rac,rac文件中記錄該模塊的文件名。目前獲取到的相關可疑路徑名如下:

/system/bin/csbrislp/system/xbin/csbrislp/system/bin/culpxywg/system/xbin/culpxywg/system/bin/conklymt/system/xbin/conklymt/system/bin/connsck/system/xbin/connsck/system/bin/cksxlbay/system/xbin/cksxlbay/system/bin/cufaevdd/system/xbin/cufaevdd……

  1. 執行命令「sentenforce 0」,關閉SeLinux
  2. 獲取手機隱私數據,上傳至伺服器
  • 訪問文件/system/etc/.uuidres或/sdcard/android/data/vs/.uuidres,若該文件存在,則取出字元串。該字元串作為後面POST信息的「ID」;若不存在,則結合隨機數、進程ID、日期等生成字元串寫入;

圖4:訪問配置文件

圖5:結合隨機數、進程ID、日期等生成字元串

圖6:.uuidres文件內容

  • 訪問文件/system/etc/.chlres或/sdcard/android/data/vs/.chlres,若不存在,則將字元串「cyh00011810」寫入,該字元串作為訪問伺服器的「憑證」;

圖7:.chlres文件內容

  • 獲取Android版本號、sdk版本號、廠商信息;
  • 調用iphonesubinfo(service call iphonesubinfo num)服務,獲取sim卡的信息(手機制式、DeviceId、IMEI);

圖8:獲取sim卡的信息

  • 獲取MAC地址、IP地址等網路信息

圖9:獲取MAC地址、IP地址等網路信息

  • 獲取內存使用情況

圖10:獲取內存使用情況

  • 獲取已安裝應用的安裝包信息

圖11:獲取已安裝應用的安裝包信息

圖12:獲取的用戶信息

  • 使用樣本內置中的RSA公鑰對上一步竊取的信息進行加密,並將加密的數據包發送到伺服器,IP地址為91.*.180

圖13:RSA公鑰

圖14:加密後的用戶信息

wnap.****.com:8357dmmu.*****.com:8357vdbb.*****.com:8357wiur.*****.com:8357

圖15:POST數據包頭

  1. 從伺服器獲取惡意推廣應用
  • 對返回的數據包進行RSA解密,得到下載應用的URL信息;

圖16:接收到的HTTP數據包

圖17:RSA私鑰

  • 發送GET包到伺服器******.com 獲取惡意推廣應用列表;

圖18:GET數據包

URL 應用包名xgaxp.******.com/p/chwygdt05226.zipcom.chahuo.noproblem.appxgaxp.******.com/p/ljwgdt05226.zipcom.query.support.housexgaxp.******.com/p/aabt05226.zipcom.gbicd.gehuqxgaxp.******.com/p/yjccgdt05226.zipcom.check.support.carxgaxp.******.com/p/lngbqlgh.zip.zipcom.owui.gho.xajl

  • 安裝APK:從雲端獲取到推廣的APK為ZIP包,位於/sdcard/.downF/apps路徑下,文件名為「A+隨機數.temp」,對其進行解密,生成APK文件;

圖19:解壓ZIP包

  • 將APK文件寫入/system/priv-app,成為系統級應用,獲得更多的許可權;

圖20:內置應用

  • 安裝完成後執行命令「am startservice 」啟動惡意推廣應用,並以插屏、循環輪播的方式頻繁彈出廣告,且點擊之後可下載其他更多應用軟體。不但容易造成用戶手機流量損失,還影響用戶手機正常使用;廣告類型包括美女視頻、紅包領取、小說網站等等。

圖21:惡意推廣的插屏廣告

六、安全建議

360手機衛士安全專家建議,來源不明的手機軟體、安裝包、文件包等不要隨意點擊下載;手機上網時,對於不明鏈接、安全性未知的二維碼等信息不隨意點擊或掃描;使用360手機衛士等手機安全軟體定期查殺手機病毒,養成良好的手機使用習慣。

目前,最新版360手機急救箱已支持專殺。

推薦閱讀:

知物由學 | AI時代,那些黑客正在如何打磨他們的「利器」?(二)
無商業目的-以前攻擊者的角度揭秘真正的DDoS市場
信息系統安全等級保護的定級準則和等級劃分
某種流量劫持攻擊的原理簡述和演示
CTF學習--web--XXE

TAG:信息安全 | 網路安全 | 計算機 |