安全路透社
当前位置:安全路透社 > 网络转载 > 正文

当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计

前言

“明修栈道,暗度陈仓”的典故许多人都听说过,该典故出自楚汉争霸时期,刘邦意图进入关中,需要攻下关中咽喉之地——陈仓。韩信献出一计:表面上浩浩荡荡地修复通往陈仓的栈道以迷惑陈仓守将,暗地里派兵从小道偷袭陈仓。最终刘邦采用此计一举夺取关中之地,为后续争霸天下铺路。

通过表面的行动迷惑敌人,隐藏自己的攻击路线,暗地里实施真正的攻击,这一直是战争中的常用手法。如今这一手法却被恶意开发者学了去,在病毒中使用该手法迷惑感染用户,攻击用户手机于无形之中。

近期,安天AVL移动安全和猎豹移动安全实验室捕获一种病毒程序” Camouflage”,该病毒正是利用暗度陈仓之计攻击用户手机:根据远程控制指令弹出锁屏界面,强制锁定用户手机屏幕,锁屏界面伪装成内存清理界面以迷惑用户;实际在在锁屏期间,该病毒会私自拨打扣费电话、发送扣费短信并删除通话、短信记录,在用户毫不知情的情况下使其承受资费损失。

除此之外,该病毒还会联网下载恶意子包,利用子包联网获取多种root工具对用户手机提权,一旦提权成功立即删除并替换系统root工具,使自身成为手机中唯一具备root权限的应用。与此同时,该病毒通过联网获取相关推送数据,向用户手机推送广告,私自下载同类恶意应用并安装运行,严重影响用户手机使用体验。为防止自身被卸载,该病毒会监控手机中正在运行的应用包名,如果与指定杀毒软件的包名重合,则立即卸载该应用。

恶意程序运行流程图

1.png

病毒传播途径和感染数据

传播途径

通过分析大量Camouflage病毒家族样本,我们发现该类病毒主要通过重打包成游戏类、休闲类应用进行传播,部分应用名称如下图所示。

0.png

用户感染数据

在2016年10月1日至12月1日期间, 该病毒累计感染518,311次,其日均感染事件数如下图所示:

2.png

统计该病毒的感染区域信息,我们发现感染情况最严重的是广东省,其次是四川省、北京市:

3.jpg

详细分析

推送广告和其他同类恶意应用

该病毒运行时在本地解密url和网址后缀并拼接,以获取广告和其他恶意应用推送数据的下载地址。

4.png

网址后缀及其对应功能如下表所示:

表1.png

广告数据:

5.png

推送的应用数据:

6.png

该病毒会不断获取推送信息和下载应用,并将这些文件保存在SD卡指定目录下。

7.png

在获取推送信息后,该病毒会定时以广告弹窗、通知栏提示、安装快捷方式和提示用户安装的方式进行广告推送。

8.png
9.png

推送的应用被安装后会通过am命令启动:

10.png

联网下载恶意子包

该病毒在推送广告和恶意应用的同时,本地解密URL后联网获取子包相关的数据和下载地址。

联网获取的恶意数据:

11.png

解密后数据如下:

12.png

该病毒私自下载恶意子包文件并将其保存到SD卡/.w/目录下(手机中文件夹名前带“.”的为隐藏文件夹,可以使用shell命令“ls -a”查看),文件名称为119.tmp,解密后即得到子包文件,最后利用反射调用子包的MS服务运行。

13.png
14.png

私自root提权

恶意子包运行时会联网获取多种root方案和root工具的下载地址并下载,私自对用户手机进行提权。攻击者通过尝试多种root方案和工具最终达到root用户手机的恶意目的。

联网获取的恶意数据:

15.png

解密后的数据为:

16.png

下载的文件说明:

表2.png

Testcomn.zip文件解压后里面包含多个文件,文件名与功能如下:

表3.png

替换系统文件

恶意子包在成功提权后,通过postsh脚本命令删除系统原本的权限管理文件,并将自己的权限管理文件以及启动脚本推送到指定目录下,导致用户无法获取root权限。

删除系统原本的权限管理文件:

17.png

复制手机自身的权限管理文件到系统目录中:

18.png

在启动脚本中以守护进程的形式启动指定目录下的提权文件:

19.png

在获取Root权限后,该病毒还会将子包推送到系统目录下,导致用户即使成功卸载该病毒主程序,也会继续受到该病毒恶意行为的影响。

20.png
21.png

私自扣费

恶意子包在运行时,该病毒会联网获取扣费指令信息并下载锁屏图片,强制置顶锁屏动图对用户手机进行锁屏,在锁屏时后台私自执行拨打扣费电话、发送扣费短信等恶意行为。在发送短信和拨打电话后,该病毒会将相关短信、通话记录删除,使用户完全无法感知资费消耗。
联网获取的扣费指令信息:

22.png

对扣费指令信息进行解密后,解密信息如下:

23.png

该病毒伪装成清理内存的界面,对用户手机进行锁屏:

24.png

对用户手机锁屏后,该病毒会私自在后台发送扣费短信:

25.png

监听用户接收的回执短信并删除相关的短信记录:

26.png

用户手机被锁屏后私自拨打扣费的sp号码:

27.png

28.png

监听通话状态,解锁屏幕时结束通话并删除通话记录:

29.png

卸载指定程序和杀毒软件

恶意子包在运行时会根据指定包名列表–UPKEY中的包名与正在运行的程序对比,若包名相同则将其禁用,后续通过命令直接卸载该应用。包名列表中包含了与该病毒相似的恶意应用,联想到该病毒下载并安装其他恶意应用的行为,我们合理推测这部分恶意应用就是该病毒下载的应用,在完成推广行为或恶意行为之后进行卸载。此外我们在该病毒的代码中也发现了许多知名杀软的包名,该病毒一旦检测到这些杀毒软件正在运行,会立即禁用并卸载,以逃避杀毒软件的查杀。

UPKEY中的包名列表:

30.png

病毒代码中的包名列表:

31.png

32.png

下载相关文件和数据

在执行恶意行为的过程中,该恶意程序会下载大量文件和数据,以达到执行恶意行为的目的。

33.png

总结

Camouflage病毒通过重打包游戏类、休闲类应用进行传播,从感染情况来看,这种伪装手段带来了惊人的传播量。通过分析发现,该病毒主程序本身代码恶意性不强,但是在进入感染手机后通过解密、拼接URL的形式下载恶意子包、推广数据以执行其主要恶意攻击行为,行为方式非常隐蔽。另外,该病毒以监控运行程序的方式对手机中的杀毒软件进行卸载,以此逃脱杀毒软件的查杀。

为成功root手机,该病毒会下载多种root方案和工具对手机进行提权,并替换系统的提权文件,使得自身成为手机中唯一具有root权限的应用,在一定程度上避免自身被卸载,同时为后续的恶意扣费的行为做好铺垫。

该病毒在执行私自恶意扣费行为时,通过置顶一个内存清理的页面来欺骗用户,并在扣费完成之后,删除对应的短信、电话记录,使用户在毫无感知的情况下蒙受较大的资费损耗。

安全建议

针对Camouflage系列病毒,AVL移动反病毒引擎合作方产品和猎豹专杀工具已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:

  • 请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;
  • 当发现手机中突然出现不知来源广告或页面时,请立即下载安全软件进行查杀;
  • 建议使用手机安全软件,并保持定期扫描的良好习惯。

*来源:安天AVL移动安全,本文作者:AVLTeam,转载请注明来自FreeBuf.com。

未经允许不得转载:安全路透社 » 当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册