警惕！寄生靈捲土重來， 數十萬用戶遭殃

來自專欄安全客

一、背景

還記得2016年爆發的「寄生靈」手機病毒嗎？——那個貼著「替換系統文件」、「獲取手機Root許可權」、「惡意推廣色情扣費軟體」、「同時感染多個病毒」等標籤的感染量超過百萬的超級病毒，用戶一旦被感染，病毒將私自發送扣費簡訊造成資費的損失，頻繁推送廣告影響手機的正常使用。經過360核心安全團隊深入的跟蹤和分析，我們在近期發現了該病毒核心模塊的又一變種。該模塊的核心功能依然是惡意推廣色情及扣費應用軟體。這說明Android手機病毒為了提高防禦能力、繞過查殺、提升與殺軟對抗的能力，增加了更多強大的功能、手段更加高明、感染數量也不斷提高。

二、感染量統計

據360互聯網安全中心監測到的數據， 2018年該病毒平均月新增10W，累計感染量已達數十萬。

圖1：病毒感染量統計

三、關聯

2016年爆發的寄生靈手機病毒的行為主要有私自獲取手機Root許可權、惡意推廣軟體。該病毒與其他病毒一起通過色情應用傳播，通常用戶手機會同時被多個病毒感染，當用戶下載安裝這些應用後，病毒將嘗試多種方式獲取手機Root許可權，然後惡意下載安裝其他應用。寄生靈病毒包括難以刪除dtm、spm、idm、syssp等病毒文件。此病毒還採用了加密混淆、md5變化、使用已備案域名等方式來躲避查殺追蹤。

本次發現的病毒是寄生靈病毒的核心模塊idm、dtm、spm的又一變種，其核心功能依然是惡意推廣色情及扣費應用，以插屏、循環輪播的方式頻繁彈廣告且點擊之後下載其他更多應用軟體。不同之處在於，它將之前多個模塊的功能集成在一個模塊內，從而減少了對其他模塊的依賴；使用RSA演算法對敏感數據進行加密，隱藏伺服器地址。

四、樣本基本信息

MD5：1180a2691********dec5baca697361

路徑：/system/xbin/chmogd

危害：該樣本危害包括聯網上傳竊取用戶隱私；私自下載、靜默安裝應用，以插屏、循環輪播的方式頻繁彈廣告且點擊之後下載其他更多應用軟體。不但容易造成用戶手機流量損失，還影響用戶手機正常使用。

五、詳細分析

首先，我們梳理出病毒的主體功能和框架，如圖：

圖2：病毒框架

病毒主要分為三個模塊：

模 塊 功 能初始化模塊對啟動腳本和核心模塊進行一些初始化操作。啟動腳本首先提升病毒核心模塊的許可權，後啟動病毒核心模塊。病毒核心模塊執行聯網上傳竊取用戶隱私和私自安裝應用，完成病毒的核心功能。

• 初始化模塊：

啟動模塊運行創建兩個線程：執行命令「mount -o remount,rw /system」，以可讀寫的方式載入/system分區，分別將/sdcard/.mnodir 路徑下的啟動腳本和病毒核心模塊拷貝到 /system/etc 和 /system/xbin 目錄下並修改為可執行許可權，最後刪除清理掉原 /sdcard/.mnodir 下的文件。

圖3：初始化模塊

（二）啟動腳本

執行supolicy命令對病毒核心模塊的執行模式修改為寬容模式後，啟動病毒核心模塊。改為寬容模式的目的是為了在運行時，程序依然有許可權執行它們想執行的那些動作。在Permissive模式下運行的程序不會被SELinux的安全策略保護。

（三）病毒核心模塊行為分析

1. 判斷病毒核心文件是否存在

/system/bin/csbrislp/system/xbin/csbrislp/system/bin/culpxywg/system/xbin/culpxywg

這類文件在Root許可權下執行命令，獲取 /data/data 目錄下安裝程序的信息。病毒母包會在 /system/bin和/system/xbin 下創建這類文件，文件名不限於上述列表。

若上述文件不存在，則讀取/system/etc/.rac，rac文件中記錄該模塊的文件名。目前獲取到的相關可疑路徑名如下：

/system/bin/csbrislp/system/xbin/csbrislp/system/bin/culpxywg/system/xbin/culpxywg/system/bin/conklymt/system/xbin/conklymt/system/bin/connsck/system/xbin/connsck/system/bin/cksxlbay/system/xbin/cksxlbay/system/bin/cufaevdd/system/xbin/cufaevdd……

1. 執行命令「sentenforce 0」，關閉SeLinux
2. 獲取手機隱私數據，上傳至伺服器

• 訪問文件/system/etc/.uuidres或/sdcard/android/data/vs/.uuidres，若該文件存在，則取出字元串。該字元串作為後面POST信息的「ID」；若不存在，則結合隨機數、進程ID、日期等生成字元串寫入；

圖4：訪問配置文件

圖5：結合隨機數、進程ID、日期等生成字元串

圖6：.uuidres文件內容

• 訪問文件/system/etc/.chlres或/sdcard/android/data/vs/.chlres，若不存在，則將字元串「cyh00011810」寫入，該字元串作為訪問伺服器的「憑證」；

圖7：.chlres文件內容

• 獲取Android版本號、sdk版本號、廠商信息；
• 調用iphonesubinfo（service call iphonesubinfo num）服務，獲取sim卡的信息（手機制式、DeviceId、IMEI）；

圖8：獲取sim卡的信息

• 獲取MAC地址、IP地址等網路信息

圖9：獲取MAC地址、IP地址等網路信息

• 獲取內存使用情況

圖10：獲取內存使用情況

• 獲取已安裝應用的安裝包信息

圖11：獲取已安裝應用的安裝包信息

圖12：獲取的用戶信息

• 使用樣本內置中的RSA公鑰對上一步竊取的信息進行加密，並將加密的數據包發送到伺服器，IP地址為91.*.180

圖13：RSA公鑰

圖14：加密後的用戶信息

wnap.****.com:8357dmmu.*****.com:8357vdbb.*****.com:8357wiur.*****.com:8357

圖15：POST數據包頭

1. 從伺服器獲取惡意推廣應用

• 對返回的數據包進行RSA解密，得到下載應用的URL信息；

圖16：接收到的HTTP數據包

圖17：RSA私鑰

• 發送GET包到伺服器******.com 獲取惡意推廣應用列表；

圖18：GET數據包

URL 應用包名http://xgaxp.******.com/p/chwygdt05226.zipcom.chahuo.noproblem.apphttp://xgaxp.******.com/p/ljwgdt05226.zipcom.query.support.househttp://xgaxp.******.com/p/aabt05226.zipcom.gbicd.gehuqhttp://xgaxp.******.com/p/yjccgdt05226.zipcom.check.support.carhttp://xgaxp.******.com/p/lngbqlgh.zip.zipcom.owui.gho.xajl

• 安裝APK：從雲端獲取到推廣的APK為ZIP包，位於/sdcard/.downF/apps路徑下，文件名為「A+隨機數.temp」，對其進行解密，生成APK文件；

圖19：解壓ZIP包

• 將APK文件寫入/system/priv-app，成為系統級應用，獲得更多的許可權；

圖20：內置應用

• 安裝完成後執行命令「am startservice 」啟動惡意推廣應用，並以插屏、循環輪播的方式頻繁彈出廣告，且點擊之後可下載其他更多應用軟體。不但容易造成用戶手機流量損失，還影響用戶手機正常使用；廣告類型包括美女視頻、紅包領取、小說網站等等。

圖21：惡意推廣的插屏廣告

六、安全建議

360手機衛士安全專家建議，來源不明的手機軟體、安裝包、文件包等不要隨意點擊下載；手機上網時，對於不明鏈接、安全性未知的二維碼等信息不隨意點擊或掃描；使用360手機衛士等手機安全軟體定期查殺手機病毒，養成良好的手機使用習慣。

目前，最新版360手機急救箱已支持專殺。

推薦閱讀：