安全路透社
当前位置:安全路透社 > 网络转载 > 正文

地下暗流系列 |“免费雇佣”数十万用户,TigerEyeing病毒云控推广上千应用

一、概要

近期,腾讯反诈骗实验室和移动安全实验室通过自研AI引擎–TRP,从海量样本中监测到一个后门病毒家族TigerEyeing,据腾讯反诈骗实验室和移动安全实验室安全专家分析发现,TigerEyeing病毒通过开源插件框架DroidPlugin来实现恶意插件动态下发,通过云端配置恶意插件列表来实现应用恶意推广、流氓广告等行为,根据腾讯反诈骗实验室神羊情报系统溯源发现,位于深圳的某家直播APP开发商深圳*虎科技存在重大嫌疑。

timg.jpg

“TigerEyeing”木马长期潜伏用户设备,窃取用户隐私数据包括设备信息,应用安装列表,设备内存和sdcard容量等信息上报服务器,并定期与服务器通信获取需要安装的插件应用配置信息,使用DroidPlugin框架来加载运行插件应用,并在运行一段时间后,删除运行过的插件应用,神不知鬼不觉的进行各种恶意推广、恶意广告等流氓行为。

腾讯反诈骗实验室和移动安全实验室通过AI引擎聚类关联发现,“TigerEyeing”木马主要通过以下几种方式大量传播:

Ø  游戏、伪色情应用等root类病毒注入系统rom内

Ø  伪装成系统应用并通过某些线下渠道进行推广

目前腾讯手机管家已经全面支持查杀该木马家族,用户可以下载腾讯手机管家进行查杀拦截。

15129738602929_看图王.jpg

二、病毒影响面

2.png

三、“TigerEyeing”木马详细分析

3.1 感染方式

“TigerEyeing”木马通过嵌入了root能力的游戏、伪色情应用进行大范围推广。

3.png

我们选取了其中一个伪色情应用:女优猜猜猜 进行详细分析。

1)病毒基本流程:

4.png

2)病毒功能分析

病毒运行后,首先初始化各种短信扣费sdk,进行短信扣费

5.png

扣费短信

Sp号码 发送内容
106***000 CZSXZ
1065***0195202 200#M903c2iz
106***8018 HY303
106***78 AT
……  

解密加载wryg.dex子包

6.png

wryg.dex子包主要功能是下载root子包进行提权,并在提权成功后,将“TigerEyeing”木马应用植入系统rom内

7.png

2017xxxxxx.jar为root子包,被动态加载后,下载运行poc文件进行提权

8.png

相关可执行文件

9.png

病毒root成功后,会在系统的/system/xbin/目录和/system/bin目录下释放多个root deamon文件,用于方便其他恶意模块快速的获取root权限。主要文件有:

/system/bin/cufsdosck   /system/xbin/cufsdosck

/system/bin/cufsmgr     /system/xbin/cufsmgr

/system/bin/cufaevdd    /system/xbin/cufaevdd

/system/bin/conbb       /system/xbin/conbb

 

‘TigerEyeing’木马应用,主要有

软件名 包名
***管理工具 com.android.sys.****.vsleb
System**** com.androids.sys.****
***中心 com.sys.****.centers
***管理 com.sys.*****.manges

 10.png

“TigerEyeing”木马应用被植入rom内或直接安装

11.png

病毒相关url说明

12.png

3.2 “TigerEyeing”木马分析,以系统管理工具为例

1、使用了DroidPlugin插件框架

13.png13-2.png

DroidPlugin 是Andy Zhang在Android系统上实现了一种新的插件机制,通过Hook了Android系统Framework层的很多系统服务,欺骗了大部分的系统API,它可以在无需安装、修改的情况下以插件形式运行APK文件,插件的Activity、Service、BroadcastReceiver、ContentProvider四大组建无需在Host程序中注册。

占位Activity和Service

14.png

Hook  AMS

15.png

Hook  PMS

16.png 

2、应用启动后,会首先计算一个设备的phone_uuid,并存放在/sdcard/android/data/mrgo目录下,用于标识设备的唯一性

17.png

18.png

3、连接服务器,上报设备相关信息,包括手机型号、imei、imsi、uuid、网络、应用安装列表信息、内存和sdcard容量等,获取服务器下发的配置

CC服务器相关域名

19.png

20.png

21.png

动态抓取的上报信息

除了推送应用外,此恶意程序还窃取上报用户隐私数据,包括手机型号、imei、imsi、uuid、网络、应用安装列表信息、内存和sdcard容量等

22.png

23.png

24.png

根据服务器返回的结果,配置插件池,若服务器连接失败则直接从读取默认的信息

25.png

26.png

应用将默认的服务器域名配置信息和插件配置信息加密存放在/sdcard/android/data/com.android.sys.manage.vsleb/****/CYH****目录下

27.png

解密得到

28.png

若服务器响应正常,则从服务段获取新的配置信息

29.png

解密得到json字符串,可以看到域名列表、downloadList、以及需要下载的应用的packageName,startType, startEntrace等信息

30.png

应用根据获取的配置信息配置插件库和其他的相关参数

31.png

32.png

33.png

4、根据插件池的配置,下载并运行插件

34.png

通过DroidPluig框架运行插件

35.png

此恶意木马不仅可以通过插件的形式运行插件应用,也可以将应用直接安装在设备上

36.png

5、下载的插件应用运行一段时间后,再次请求服务器获取新的插件应用,并将之前的插件应用放入UnInstallList,并删除插件应用

设置unInstallList

37.png

根据unInstallList删除应用

38.png

6、主要的恶意插件

a).恶意广告应用

软件名      安卓系统守护
包名        com.****.ads
证书        2b343f95******39871c879a1

该插件应用动态加载DlPluginAds子包,并调用其相关代码来获取和展示各种广告

39.png40.png

恶意广告

41.png

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册