警惕!寄生灵卷土重来, 数十万用户遭殃

阅读量258624

|评论7

发布时间 : 2018-04-09 12:13:39

一、背景

还记得2016年爆发的“寄生灵”手机病毒吗?——那个贴着“替换系统文件”、“获取手机Root权限”、“恶意推广色情扣费软件”、“同时感染多个病毒”等标签的感染量超过百万的超级病毒,用户一旦被感染,病毒将私自发送扣费短信造成资费的损失,频繁推送广告影响手机的正常使用。经过360核心安全团队深入的跟踪和分析,我们在近期发现了该病毒核心模块的又一变种。该模块的核心功能依然是恶意推广色情及扣费应用软件。这说明Android手机病毒为了提高防御能力、绕过查杀、提升与杀软对抗的能力,增加了更多强大的功能、手段更加高明、感染数量也不断提高。

 

二、感染量统计

据360互联网安全中心监测到的数据, 2018年该病毒平均月新增10W,累计感染量已达数十万。

图1:病毒感染量统计

 

三、关联

2016年爆发的寄生灵手机病毒的行为主要有私自获取手机Root权限、恶意推广软件。该病毒与其他病毒一起通过色情应用传播,通常用户手机会同时被多个病毒感染,当用户下载安装这些应用后,病毒将尝试多种方式获取手机Root权限,然后恶意下载安装其他应用。寄生灵病毒包括难以删除dtm、spm、idm、syssp等病毒文件。此病毒还采用了加密混淆、md5变化、使用已备案域名等方式来躲避查杀追踪。

本次发现的病毒是寄生灵病毒的核心模块idm、dtm、spm的又一变种,其核心功能依然是恶意推广色情及扣费应用,以插屏、循环轮播的方式频繁弹广告且点击之后下载其他更多应用软件。不同之处在于,它将之前多个模块的功能集成在一个模块内,从而减少了对其他模块的依赖;使用RSA算法对敏感数据进行加密,隐藏服务器地址。

四、样本基本信息

MD5:1180a2691********dec5baca697361

路径:/system/xbin/chmogd

危害:该样本危害包括联网上传窃取用户隐私;私自下载、静默安装应用,以插屏、循环轮播的方式频繁弹广告且点击之后下载其他更多应用软件。不但容易造成用户手机流量损失,还影响用户手机正常使用。

五、详细分析

首先,我们梳理出病毒的主体功能和框架,如图:

图2:病毒框架

 

病毒主要分为三个模块:

                    
初始化模块 对启动脚本和核心模块进行一些初始化操作。
启动脚本 首先提升病毒核心模块的权限,后启动病毒核心模块。
病毒核心模块 执行联网上传窃取用户隐私和私自安装应用,完成病毒的核心功能。

 

  • 初始化模块:

启动模块运行创建两个线程:执行命令“mount -o remount,rw /system”,以可读写的方式加载/system分区,分别将/sdcard/.mnodir 路径下的启动脚本和病毒核心模块拷贝到 /system/etc 和 /system/xbin 目录下并修改为可执行权限,最后删除清理掉原 /sdcard/.mnodir 下的文件。

图3:初始化模块

 

(二)启动脚本

执行supolicy命令对病毒核心模块的执行模式修改为宽容模式后,启动病毒核心模块。改为宽容模式的目的是为了在运行时,程序依然有权限执行它们想执行的那些动作。在Permissive模式下运行的程序不会被SELinux的安全策略保护。

(三)病毒核心模块行为分析

  1. 判断病毒核心文件是否存在
/system/bin/csbrislp
/system/xbin/csbrislp
/system/bin/culpxywg
/system/xbin/culpxywg

这类文件在Root权限下执行命令,获取 /data/data 目录下安装程序的信息。病毒母包会在 /system/bin和/system/xbin 下创建这类文件,文件名不限于上述列表。

若上述文件不存在,则读取/system/etc/.rac,rac文件中记录该模块的文件名。目前获取到的相关可疑路径名如下:

/system/bin/csbrislp /system/xbin/csbrislp
/system/bin/culpxywg /system/xbin/culpxywg
/system/bin/conklymt /system/xbin/conklymt
/system/bin/connsck /system/xbin/connsck
/system/bin/cksxlbay /system/xbin/cksxlbay
/system/bin/cufaevdd /system/xbin/cufaevdd
  1. 执行命令“sentenforce 0”,关闭SeLinux
  2. 获取手机隐私数据,上传至服务器
  • 访问文件/system/etc/.uuidres或/sdcard/android/data/vs/.uuidres,若该文件存在,则取出字符串。该字符串作为后面POST信息的“ID”;若不存在,则结合随机数、进程ID、日期等生成字符串写入;

图4:访问配置文件

图5:结合随机数、进程ID、日期等生成字符串

图6:.uuidres文件内容

 

  • 访问文件/system/etc/.chlres或/sdcard/android/data/vs/.chlres,若不存在,则将字符串“cyh00011810”写入,该字符串作为访问服务器的“凭证”;

图7:.chlres文件内容

 

  • 获取Android版本号、sdk版本号、厂商信息;
  • 调用iphonesubinfo(service call iphonesubinfo num)服务,获取sim卡的信息(手机制式、DeviceId、IMEI);

图8:获取sim卡的信息

 

  • 获取MAC地址、IP地址等网络信息

图9:获取MAC地址、IP地址等网络信息

  • 获取内存使用情况


图10:获取内存使用情况

 

  • 获取已安装应用的安装包信息


图11:获取已安装应用的安装包信息

图12:获取的用户信息

  • 使用样本内置中的RSA公钥对上一步窃取的信息进行加密,并将加密的数据包发送到服务器,IP地址为91.*.180


图13:RSA公钥


图14:加密后的用户信息

 

wnap.****.com:8357
dmmu.*****.com:8357
vdbb.*****.com:8357
wiur.*****.com:8357


图15:POST数据包头

  1. 从服务器获取恶意推广应用
  • 对返回的数据包进行RSA解密,得到下载应用的URL信息;


图16:接收到的HTTP数据包


图17:RSA私钥

  • 发送GET包到服务器******.com 获取恶意推广应用列表;


图18:GET数据包

 

URL         应用包名
http://xgaxp.******.com/p/chwygdt05226.zip com.chahuo.noproblem.app
http://xgaxp.******.com/p/ljwgdt05226.zip com.query.support.house
http://xgaxp.******.com/p/aabt05226.zip com.gbicd.gehuq
http://xgaxp.******.com/p/yjccgdt05226.zip com.check.support.car
http://xgaxp.******.com/p/lngbqlgh.zip.zip com.owui.gho.xajl

 

  • 安装APK:从云端获取到推广的APK为ZIP包,位于/sdcard/.downF/apps路径下,文件名为“A+随机数.temp”,对其进行解密,生成APK文件;

图19:解压ZIP包

  • 将APK文件写入/system/priv-app,成为系统级应用,获得更多的权限;

图20:内置应用

 

  • 安装完成后执行命令“am startservice ”启动恶意推广应用,并以插屏、循环轮播的方式频繁弹出广告,且点击之后可下载其他更多应用软件。不但容易造成用户手机流量损失,还影响用户手机正常使用;广告类型包括美女视频、红包领取、小说网站等等。

图21:恶意推广的插屏广告

六、安全建议

360手机卫士安全专家建议,来源不明的手机软件、安装包、文件包等不要随意点击下载;手机上网时,对于不明链接、安全性未知的二维码等信息不随意点击或扫描;使用360手机卫士等手机安全软件定期查杀手机病毒,养成良好的手机使用习惯。

目前,最新版360手机急救箱已支持专杀。

本文由360成都安全响应中心原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/104052

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
360成都安全响应中心
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66