警惕!寄生靈捲土重來, 數十萬用戶遭殃
來自專欄安全客
一、背景
還記得2016年爆發的「寄生靈」手機病毒嗎?——那個貼著「替換系統文件」、「獲取手機Root許可權」、「惡意推廣色情扣費軟體」、「同時感染多個病毒」等標籤的感染量超過百萬的超級病毒,用戶一旦被感染,病毒將私自發送扣費簡訊造成資費的損失,頻繁推送廣告影響手機的正常使用。經過360核心安全團隊深入的跟蹤和分析,我們在近期發現了該病毒核心模塊的又一變種。該模塊的核心功能依然是惡意推廣色情及扣費應用軟體。這說明Android手機病毒為了提高防禦能力、繞過查殺、提升與殺軟對抗的能力,增加了更多強大的功能、手段更加高明、感染數量也不斷提高。
二、感染量統計
據360互聯網安全中心監測到的數據, 2018年該病毒平均月新增10W,累計感染量已達數十萬。
圖1:病毒感染量統計
三、關聯
2016年爆發的寄生靈手機病毒的行為主要有私自獲取手機Root許可權、惡意推廣軟體。該病毒與其他病毒一起通過色情應用傳播,通常用戶手機會同時被多個病毒感染,當用戶下載安裝這些應用後,病毒將嘗試多種方式獲取手機Root許可權,然後惡意下載安裝其他應用。寄生靈病毒包括難以刪除dtm、spm、idm、syssp等病毒文件。此病毒還採用了加密混淆、md5變化、使用已備案域名等方式來躲避查殺追蹤。
本次發現的病毒是寄生靈病毒的核心模塊idm、dtm、spm的又一變種,其核心功能依然是惡意推廣色情及扣費應用,以插屏、循環輪播的方式頻繁彈廣告且點擊之後下載其他更多應用軟體。不同之處在於,它將之前多個模塊的功能集成在一個模塊內,從而減少了對其他模塊的依賴;使用RSA演算法對敏感數據進行加密,隱藏伺服器地址。
四、樣本基本信息
MD5:1180a2691********dec5baca697361
路徑:/system/xbin/chmogd
危害:該樣本危害包括聯網上傳竊取用戶隱私;私自下載、靜默安裝應用,以插屏、循環輪播的方式頻繁彈廣告且點擊之後下載其他更多應用軟體。不但容易造成用戶手機流量損失,還影響用戶手機正常使用。
五、詳細分析
首先,我們梳理出病毒的主體功能和框架,如圖:
圖2:病毒框架
病毒主要分為三個模塊:
模 塊 功 能初始化模塊對啟動腳本和核心模塊進行一些初始化操作。啟動腳本首先提升病毒核心模塊的許可權,後啟動病毒核心模塊。病毒核心模塊執行聯網上傳竊取用戶隱私和私自安裝應用,完成病毒的核心功能。
- 初始化模塊:
啟動模塊運行創建兩個線程:執行命令「mount -o remount,rw /system」,以可讀寫的方式載入/system分區,分別將/sdcard/.mnodir 路徑下的啟動腳本和病毒核心模塊拷貝到 /system/etc 和 /system/xbin 目錄下並修改為可執行許可權,最後刪除清理掉原 /sdcard/.mnodir 下的文件。
圖3:初始化模塊
(二)啟動腳本
執行supolicy命令對病毒核心模塊的執行模式修改為寬容模式後,啟動病毒核心模塊。改為寬容模式的目的是為了在運行時,程序依然有許可權執行它們想執行的那些動作。在Permissive模式下運行的程序不會被SELinux的安全策略保護。
(三)病毒核心模塊行為分析
- 判斷病毒核心文件是否存在
/system/bin/csbrislp/system/xbin/csbrislp/system/bin/culpxywg/system/xbin/culpxywg
這類文件在Root許可權下執行命令,獲取 /data/data 目錄下安裝程序的信息。病毒母包會在 /system/bin和/system/xbin 下創建這類文件,文件名不限於上述列表。
若上述文件不存在,則讀取/system/etc/.rac,rac文件中記錄該模塊的文件名。目前獲取到的相關可疑路徑名如下:
/system/bin/csbrislp/system/xbin/csbrislp/system/bin/culpxywg/system/xbin/culpxywg/system/bin/conklymt/system/xbin/conklymt/system/bin/connsck/system/xbin/connsck/system/bin/cksxlbay/system/xbin/cksxlbay/system/bin/cufaevdd/system/xbin/cufaevdd……
- 執行命令「sentenforce 0」,關閉SeLinux
- 獲取手機隱私數據,上傳至伺服器
- 訪問文件/system/etc/.uuidres或/sdcard/android/data/vs/.uuidres,若該文件存在,則取出字元串。該字元串作為後面POST信息的「ID」;若不存在,則結合隨機數、進程ID、日期等生成字元串寫入;
圖4:訪問配置文件
圖5:結合隨機數、進程ID、日期等生成字元串
圖6:.uuidres文件內容
- 訪問文件/system/etc/.chlres或/sdcard/android/data/vs/.chlres,若不存在,則將字元串「cyh00011810」寫入,該字元串作為訪問伺服器的「憑證」;
圖7:.chlres文件內容
- 獲取Android版本號、sdk版本號、廠商信息;
- 調用iphonesubinfo(service call iphonesubinfo num)服務,獲取sim卡的信息(手機制式、DeviceId、IMEI);
圖8:獲取sim卡的信息
- 獲取MAC地址、IP地址等網路信息
圖9:獲取MAC地址、IP地址等網路信息
- 獲取內存使用情況
圖10:獲取內存使用情況
- 獲取已安裝應用的安裝包信息
圖11:獲取已安裝應用的安裝包信息
圖12:獲取的用戶信息
- 使用樣本內置中的RSA公鑰對上一步竊取的信息進行加密,並將加密的數據包發送到伺服器,IP地址為91.*.180
圖13:RSA公鑰
圖14:加密後的用戶信息
wnap.****.com:8357dmmu.*****.com:8357vdbb.*****.com:8357wiur.*****.com:8357
圖15:POST數據包頭
- 從伺服器獲取惡意推廣應用
- 對返回的數據包進行RSA解密,得到下載應用的URL信息;
圖16:接收到的HTTP數據包
圖17:RSA私鑰
- 發送GET包到伺服器******.com 獲取惡意推廣應用列表;
圖18:GET數據包
URL 應用包名http://xgaxp.******.com/p/chwygdt05226.zipcom.chahuo.noproblem.apphttp://xgaxp.******.com/p/ljwgdt05226.zipcom.query.support.househttp://xgaxp.******.com/p/aabt05226.zipcom.gbicd.gehuqhttp://xgaxp.******.com/p/yjccgdt05226.zipcom.check.support.carhttp://xgaxp.******.com/p/lngbqlgh.zip.zipcom.owui.gho.xajl
- 安裝APK:從雲端獲取到推廣的APK為ZIP包,位於/sdcard/.downF/apps路徑下,文件名為「A+隨機數.temp」,對其進行解密,生成APK文件;
圖19:解壓ZIP包
- 將APK文件寫入/system/priv-app,成為系統級應用,獲得更多的許可權;
圖20:內置應用
- 安裝完成後執行命令「am startservice 」啟動惡意推廣應用,並以插屏、循環輪播的方式頻繁彈出廣告,且點擊之後可下載其他更多應用軟體。不但容易造成用戶手機流量損失,還影響用戶手機正常使用;廣告類型包括美女視頻、紅包領取、小說網站等等。
圖21:惡意推廣的插屏廣告
六、安全建議
360手機衛士安全專家建議,來源不明的手機軟體、安裝包、文件包等不要隨意點擊下載;手機上網時,對於不明鏈接、安全性未知的二維碼等信息不隨意點擊或掃描;使用360手機衛士等手機安全軟體定期查殺手機病毒,養成良好的手機使用習慣。
目前,最新版360手機急救箱已支持專殺。
推薦閱讀:
※知物由學 | AI時代,那些黑客正在如何打磨他們的「利器」?(二)
※無商業目的-以前攻擊者的角度揭秘真正的DDoS市場
※信息系統安全等級保護的定級準則和等級劃分
※某種流量劫持攻擊的原理簡述和演示
※CTF學習--web--XXE