當前位置:
首頁 > 新聞 > 手電筒驚現海量Root病毒:私自扣費、強裝病毒、惡意彈窗

手電筒驚現海量Root病毒:私自扣費、強裝病毒、惡意彈窗

新聞 03-04


近期出現的手電筒root病毒,一旦在手機上成功安裝後,即會通過私自發送扣費簡訊訂製包月業務,造成用戶話費損失,並注入大量惡意elf文件至手機system目錄,危害用戶手機系統安全。此外,此類病毒還會私自下載並安裝大量惡意軟體和推廣軟體到用戶手機系統、 匿名彈出大量惡意廣告,從而造成資費消耗並影響用戶正常使用手機。


1.用戶量情況


根據特徵共找到575個樣本;

Rom內周用戶量:2441


Rom外周用戶量:9736


Rom內用戶量最高的樣本:313


Rom外用戶量最高的樣本:5572


2.惡意行為

1)私自發送簡訊


部分私自發送的簡訊相關信息


2)惡意廣告


在手機桌面彈出惡意彈窗廣告



在手機桌面生成惡意廣告桌面快捷方式



在手機桌面生成banner廣告



通知欄推送大量廣告



3)注入elf文件至手機/system/xbin與/system/bin,/system/lib目錄





4)靜默安裝大量軟體在手機rom內



4.病毒執行流程


流程圖:



1)私自發送扣費簡訊行為簡析


軟體啟動後解密assets目錄下的文件cj.jar生成cj.dex



並調用com.yhmm.pdh.ExternalMain類中的getInstance方法進行初始化,並通過此模塊監聽攔截用戶的簡訊



發送扣費簡訊



通過網路獲取扣費信息內容





通過libarmeabilibdlctqdi.so載入其他模塊



2)惡意廣告及私自下載推廣軟體模塊簡析


加密dex文件assets/res.zip被解密後存放在/data/data/com.adm.fran.lights/app_cache/res.zipDex文件包含打了的加密字元串,對其字元串進行解密,可以看出此文件用於獲取廣告。




通過對字元串解密可以看到廣告信息,私自下載的推廣軟體來自域名

http://dws.m

*appservice.net及sdk.

76.com


廣告信息存放在/data/data/包名目錄下的資料庫OcSDK_statistics_prom:





3)私自下載安裝惡意軟體至rom內行為簡析


下載的root模塊文件/data/data/com.adm.fran.lights/files/46e62f5d8ae276548888328caa74ff70/9aeb9e7c-f785-40a2-b060-6df66e7274bd.zip在root流程結束後判斷是否root成功



裝惡意軟體至手機/system/priv-app/目錄



4)注入惡意文件至system目錄


病毒root後,wsroot.sh中注入並調用athima文件



athima中注入惡意文件至手機的/system/bin/,/system/xbin/,/system/lib/目錄,同時把腳本/system/etc/install-recovery.sh文件注入



6)cufsdosck文件行為邏輯



創建線程/sbin/e2fsck_guard,最後通過pthread_create函數創建線程



sub_A9B4函數用於檢測/system/bin/cufsdosck,/system/xbin/cufsdosck,/system/etc/install-recovery.sh文件是否存在



若不存在,則調用sub_B198函數,生成對應文件,並通過inotify_add_watch函數監視文件的動作



監視文件動作



並通過sub_B0B4函數調用sub_A204函數,並啟動其他惡意服務



5.Root模塊相關信息


文件/data/data/包名/files/2調用root大師的root方案進行提權



存放在/data/data/包名/tr/fileWork目錄下的root方案



腳本wsroot.sh中的部分內容



6.傳播渠道推測


樣本首次收集來源分布圖



分析用戶量較大的樣本,其中有不少疑似通過廣告url下載的,如下:



因此推測傳播範圍較廣的樣本主要通過廣告傳播


7.溯源信息


獲取廣告配置信息來自域名sdk.*76.com,此域名備案信息屬於北京青信息技術有限公司



私自下載推廣軟體的域名

http://dws.m*appservice.net

,此域名備案信息屬於上海歐*信息技術有限公司



部分加密文件:


http://2y**37.xmglz.com


root模塊


http://cdn.*msz.com/s?z28


8.清理方案


須先kill掉線程/sbin/e2fsck_guard,卸載病毒母樣本,再清理以下文件


Elf文件:


不同環境下釋放的文件可能會有所不同

<點擊原文查看>


Apk文件:

<點擊原文查看>


*本文作者:騰訊手機管家,轉載請註明來自Freebuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

低成本玩轉硬體安全(一) | BadUSB on Arduino
如何正確地在Android手機上安裝國產軟體?

TAG:FreeBuf |

您可能感興趣

Science子刊:以毒攻毒!小兒麻痹症病毒可化身癌症殺手
真正的「以毒攻毒」!感冒病毒殺死癌細胞和癌症相關病毒
電腦病毒兵器化 射擊遊戲《Atomine》即將上架
以毒攻毒?基因工程改造的Zika寨卡病毒可用於治療腦瘤
德核電站「驚」染電腦病毒!
以毒攻毒 這麼難治的腦腫瘤竟被更加惡毒的「塞卡病毒」給鎮住了!
新型病毒DoubleAgent曝光:攻擊計算機前先入侵防病毒軟體
蘋果用戶小心了!新型惡意病毒肆虐,不要亂輸密碼!
帶狀皰疹病毒——心臟病、中風的隱形推手!
新研究讓寨卡病毒「以毒攻毒」,成抗癌武器
肝病食譜舉例之病毒性肝炎、脂肪肝、肝硬化、肝昏迷
惡性病毒 Pengex 懟天懟地懟對手,還懟同類病毒,正兇悍地攻擊各路殺軟
肝癌的三大元兇:病毒、膽道疾病、脂肪肝
乙型病毒性肝炎
使用寨卡病毒治療惡性腦瘤。聽吧
Nature:噬病毒體mavirus讓單細胞生物對巨病毒產生適應性免疫
病毒性肝炎吃什麼食物好,病毒性肝炎的飲食禁忌
Cell:給病毒餵食,讓細菌感染餓死?
網路軟體現新漏洞,類似WannaCry的病毒可能重現