安全路透社
当前位置:安全路透社 > 网络转载 > 正文

手电筒惊现海量Root病毒:私自扣费、强装病毒、恶意弹窗

近期出现的手电筒root病毒,一旦在手机上成功安装后,即会通过私自发送扣费短信订制包月业务,造成用户话费损失,并注入大量恶意elf文件至手机system目录,危害用户手机系统安全。此外,此类病毒还会私自下载并安装大量恶意软件和推广软件到用户手机系统、 匿名弹出大量恶意广告,从而造成资费消耗并影响用户正常使用手机。

1.用户量情况

根据特征共找到575个样本;

Rom内周用户量:2441

Rom外周用户量:9736

Rom内用户量最高的样本:313

Rom外用户量最高的样本:5572

2.恶意行为

1)私自发送短信

部分私自发送的短信相关信息

图片1.png

2)恶意广告

在手机桌面弹出恶意弹窗广告

图片2.png

在手机桌面生成恶意广告桌面快捷方式

图片3.png

在手机桌面生成banner广告

图片4.png

通知栏推送大量广告

图片5.png

3)注入elf文件至手机/system/xbin与/system/bin,/system/lib目录

图片6.png

图片7.png

图片8.png

4)静默安装大量软件在手机rom内

图片9.png

4.病毒执行流程

流程图:

图片10.png

1)私自发送扣费短信行为简析

软件启动后解密assets目录下的文件cj.jar生成cj.dex

图片12.png

并调用com.yhmm.pdh.ExternalMain类中的getInstance方法进行初始化,并通过此模块监听拦截用户的短信

图片13.png

发送扣费短信

图片14.png

通过网络获取扣费信息内容

图片15.png

图片16.png

图片17.png

通过\lib\armeabi\libdlctqdi.so加载其他模块

图片18.png

2)恶意广告及私自下载推广软件模块简析

加密dex文件assets/res.zip被解密后存放在/data/data/com.adm.fran.lights/app_cache/res.zipDex文件包含打了的加密字符串,对其字符串进行解密,可以看出此文件用于获取广告。

图片19.png

图片20.png

通过对字符串解密可以看到广告信息,私自下载的推广软件来自域名http://dws.m*appservice.net及sdk.76.com

广告信息存放在/data/data/包名目录下的数据库OcSDK_statistics_prom:

图片21.png

图片22.png

图片23.png

3)私自下载安装恶意软件至rom内行为简析

下载的root模块文件/data/data/com.adm.fran.lights/files/46e62f5d8ae276548888328caa74ff70/9aeb9e7c-f785-40a2-b060-6df66e7274bd.zip在root流程结束后判断是否root成功

图片24.png

装恶意软件至手机/system/priv-app/目录

图片25.png

4)注入恶意文件至system目录

病毒root后,wsroot.sh中注入并调用athima文件

图片26.png

athima中注入恶意文件至手机的/system/bin/,/system/xbin/,/system/lib/目录,同时把脚本/system/etc/install-recovery.sh文件注入

图片27.png

6)cufsdosck文件行为逻辑

图片28.png

创建线程/sbin/e2fsck_guard,最后通过pthread_create函数创建线程

图片29.png

sub_A9B4函数用于检测/system/bin/cufsdosck,/system/xbin/cufsdosck,/system/etc/install-recovery.sh文件是否存在

图片30.png

若不存在,则调用sub_B198函数,生成对应文件,并通过inotify_add_watch函数监视文件的动作

图片31.png

监视文件动作

图片32.png

并通过sub_B0B4函数调用sub_A204函数,并启动其他恶意服务

图片33.png

5.Root模块相关信息

文件/data/data/包名/files/2调用root大师的root方案进行提权

图片34.png

存放在/data/data/包名/tr/fileWork目录下的root方案

图片35.png

脚本wsroot.sh中的部分内容

图片36.png

6.传播渠道推测

分析用户量较大的样本,其中有不少疑似通过广告url下载的,如下:

图片38.png

因此推测传播范围较广的样本主要通过广告传播

7.溯源信息

获取广告配置信息来自域名sdk.*76.com,此域名备案信息属于北京青信息技术有限公司

图片39.png

私自下载推广软件的域名http://dws.m*appservice.net,此域名备案信息属于上海欧*信息技术有限公司

图片40.png

部分加密文件:

http://2y**37.xmglz.com

root模块

http://cdn.*msz.com/s?z28

8.清理方案

须先kill掉线程/sbin/e2fsck_guard,卸载病毒母样本,再清理以下文件

Elf文件:

不同环境下释放的文件可能会有所不同

chattr -aiA /system/lib/libandroidmedias.so /system/lib/libandroidmails.so /system/lib/liblgeanimationplayer.so /system/lib/liblgehardwarecheck.so  /system/lib/liblgeequipmenthealth.so /system/lib/libsystemvendorlge.so /system/bin/eqhealthd  /system/bin/hwcheckd-lge /system/vendor/cufsdosck /system/bin/cufsdosck /system/bin/cufsmgr /system/lib/libbot.so /system/bin/bootanimation /system/bin/.debuggerd.no /system/bin/.nosh /system/bin/conbb /system/bin/debuggerd /system/bin/.install-recovery.sh-nu.bak /system/bin/debuggerd_realx /system/xbin/cufsmgr /system/xbin/cufsdosck /system/xbin/conbb /system/xbin/klog__A7642 /system/bin/systemcore /system/usr/cufsdosck /system/usr/.nb /system/etc/athima
rm -rf /system/lib/libandroidmedias.so /system/lib/libandroidmails.so /system/lib/liblgeanimationplayer.so /system/lib/liblgehardwarecheck.so  /system/lib/liblgeequipmenthealth.so /system/lib/libsystemvendorlge.so /system/bin/eqhealthd  /system/bin/hwcheckd-lge /system/vendor/cufsdosck /system/bin/cufsdosck /system/bin/cufsmgr /system/lib/libbot.so /system/bin/bootanimation /system/bin/.debuggerd.no /system/bin/.nosh /system/bin/conbb /system/bin/debuggerd /system/bin/.install-recovery.sh-nu.bak /system/bin/debuggerd_realx /system/xbin/cufsmgr /system/xbin/cufsdosck /system/xbin/conbb /system/xbin/klog__A7642 /system/bin/systemcore /system/usr/cufsdosck /system/usr/.nb /system/etc/athima

Apk文件:

chattr -aiA /system/priv-app/BCTService.apk /system/priv-app/TP2.apk /system/priv-app/TP2.apk
Rm -rf /system/priv-app/BCTService.apk /system/priv-app/TP2.apk /system/priv-app/TP2.apk

*本文作者:腾讯手机管家,转载请注明来自Freebuf.COM

未经允许不得转载:安全路透社 » 手电筒惊现海量Root病毒:私自扣费、强装病毒、恶意弹窗

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册