0X01 病毒背景及危害
伏地虫病毒程序,是一款危害及其严重的手机恶意程序。此病毒所采用的技术非常高超,能够自动获取用户手机设备的Root权限,拥有了Root权限,该病毒就可以在手机设备上为所欲为,比如下载恶意程序,泄露用户隐私信息,盗走网银账户等等。该病毒会自带root方案,方案数量多达26个,基本覆盖了绝大多数android漏洞提权的内容。通过病毒的感染方式和恶意行为,可以判定制造这个病毒不是一个“个人行为”,该恶意程序的背后,有一个“强大”的团队在运作。
下图是近一个月来,腾讯手机管家监测到的伏地虫病毒的感染数据,每日均有数以万计的新增量,可以看出伏地虫病毒的传播速度之快,尤其是在周末会出现病毒感染的高峰。截止目前,已有近80万的手机用户感染了伏地虫病毒,严重影响了用户的正常生活,甚至造成财产损失,下面对伏地虫病毒的原理和恶意行为进行深度的分析。
一旦流量分析软件被用户触发,病毒母体程序马上开始发作,会疯狂地给用户下载其它第三方程序,这些程序包括正版的推广软件,也包括其他的恶意软件、色情软件等。如下图所示:
不仅如此,恶意程序还会推广大量的色情软件,如下图所示:
2. 初始化联网参数
发送恶意短信,同时监听收到的短信,病毒母体中所有的字符串都经过加密处理,病毒分析人员无法通过简单反编译手段获取一些病毒信息。
4 启动服务,发送恶意短信
5 监听短信接收
而恶意程序的主体,其实并不在母体中,而是通过云端拉取的方式,从服务器上下载的,比如1208ggnn.mm,这是一个apk,这样大大增加了分析员逆向分析和取证的难度。
流量分析这个软件运行起来后,首先会检查本地是否有这个apk。如果没有则会去服务器下载,如果有的话则会直接运行。具体的代码如下所示,其中的地址等字符串都是经过加密:
这张图展示了恶意程序与服务器的通讯,在下载完1208ggnn.mm文件之后,通过自带的方案提取root权限,然后释放恶意程序文件到system等相关的目录。
与此同时,恶意程序还会把它推广的软件,也释放到/system/目录。手机上的文件分布如下图所示:
1. 在手机/system/bin/下释放这些文件。其中install-recovery.sh是手机启动时让恶意程序自动运行的配置文件,ipm、dm、.nbwayxwzt、android.sys都是恶意程序文件。Busybox是一个shell命令的工具集。
3. 在手机/system/xbin目录下,这三个都是恶意程序文件
5. 在/system/app下释放这些文件,这些应用包括推广的正常软件,以及其他恶意程序文件,色情软件等。把推广的程序放在这个目录下的目的,是为了用户不能正常地卸载这些恶意程序
现在让我们回过头来再看看1208ggnn.mm这个apk,这个恶意程序之所以功能如此强大,是因为它获取了root权限。这个重要的工作,都在上述这个apk中。这个apk的assets目录下,从他的zip包中,我们看到有26个提权文件。
恶意程序会根据不同的机型,选择不同的方案进行root提权操作。Root方案文件如下图所示:
将assets目录下的db文件(其实就是一个jar包)拷贝到应用目录下,并用反射调用其中的入口方法开始Root。
另外病毒利用install-recovery.sh来实现开机自启,如下图所示:
这些内容是通过1208ggnn.mmassets.sv.qq这个so进行操作的,它会读取xxxx.sh文件,然后把该文件的内容读取出来,写入到install-recovery.sh文件中。
具体汇编代码如下图所示:
上述两个文件的内容解密后可以看到相关数据,如下图所示:
在这个so中,我们可以看到对于/data/.hidenman/.ms2以及/data/.hiden/man/.asshole文件的操作。主要是把这两个文件的内容读取出来,然后对他进行base64解码,进行执行的相关操作。如下图所示:
0X005 附录——病毒基本信息
病毒样本hash:
A9755A6F8049B9B915457DF6A1D2F995F386480F
病毒包名:
com.ytel.sgh
软件名:
流量分析
证书:
来源:腾讯手机管家
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!