“九头虫www.4688.com”病毒技术分析报告

一、背景介绍

日前,阿里活动安全收到多方用户反馈,手机中了一种难以消除的病毒。病毒一旦发作,设备将随地弹出广告,并自动下载、安装、启动恶意使用,最后装备衰竭而死,用户很难通过正常的卸载手段清除病毒。由于该病毒有五个本子演化并有复活之术,大家将该病毒命名为“九头虫”。

大家解析发现,“九头虫”病毒使用多家出名root
sdk对装备提权,可轻松提权上万总机型,成功提权后得到装备最高权力,随后向系统分区植入两个恶意app,删除设备其他root授权程序、su文件,并替换系统启动脚本文件,实现“起死回生”同时确保病毒具备root权限,将自我插入某杀软白名单中,并禁用掉国内多家出名杀软,致使设备安全预防效果全线瘫痪。

中毒设备将作为“九头虫”病毒的僵尸设备,每日推送上百万广告,其点击率大概15%(紧假若病毒本身的模仿点击),也就是说每日广告点击上10万次,再增长静默安装与欺骗安装,每成功安装激活赚取1.5~2元,如此收益不菲!

VS2015毕竟出了RC了!小伙伴们快来安装试用吧,地址在这里,还有新的Windows
10开发工具
嗯,要不然是付出持续Universal
Windows App的,安装前记得卸载CTP版本。

二、“九头虫”传播路径与感染数据总括

www.4688.com, 

2.1、传播路线

最早大家收获到伪装成“中国好声音”应用的“九头虫”病毒,通过排查历史样本,我们发现大量“九头虫”变种病毒,其传播形式包括:伪装成热门应用、重打包生活服务类、色情诱惑类、系统工具类应用,比如伪装成“中国好声音”、“清理大师”、“博客园游戏”等,以及色情应用“帮学姐洗澡”、“性感の嫩模”、“寂寞少妇”等,同时“九头虫”的黑心模块完全受云端控制,导致用户也不拔除中毒来源。

www.4688.com 1

↑传播病毒图标

新的RC版本有了些新转变,不可以一向打开CTP中开创的工程-。-,需要手动做一些改动才行。

2.2、感染数据总计

 

1、全国地方感染分布

对2016年终到2016年八月的监测总括数据显示,“九头虫”病毒一共设备感染量高达33万。从感染地区分布图中可以看看黑龙江、甘肃是感染重灾区。

www.4688.com 2

一旦您前边使用VS2015
CTP创造过工程以来,直接利用RC打开会提醒项目需要革新,如下图:

2、每月设备感染趋势

从每月设备感染趋势图可以看出,“九头虫”病毒暴发周期是4~5个月,在随着的4~5个月每月感染数骤降,那刚刚也是病毒变种的一个周期。如今在3月底达到峰值,随后几月将是衰减期。

www.4688.com 3

www.4688.com 4

三、深切剖析

“九头虫”病毒分为注入rom病毒和恶意推广多少个模块,注入rom病毒是“九头虫”家族的风行变种,执行流程图如下。

www.4688.com 5

 

3.1、病毒母包

母包的MyApp组件是恶意代码入口点,完成libOgdfhhiaxn.so加载和assets目录下xhmf文件解密加载,随后“九头虫”病毒分别开展注入rom病毒和恶心推广。

www.4688.com 6

 修改章程很简单,上边以C#工程为例:

3.2、“九头虫”注入rom病毒

“九头虫”释放两个家族恶意使用,潜伏在系统接纳中,频繁弹出恶意广告,严重搅扰手机正常使用。注入rom病毒过程如下。

实践提权

首先拿到root工具包。libOgfhhixan.so动态加载由assets目录下的Zvtwk文件释放的oko.jar。oko.jar子包联网请求提权工具下载地址,随后下载并本地解密拿到提权工具包cab.zip。

www.4688.com 7

↑请求获取提前工具包下载地址图

提权工具包中文件以及功效如下表:

www.4688.com 8

接下去加载执行root
sdk既是data.jar文件,成功加载后“九头虫”会去除本地的cab.zip和data.jar文件。

www.4688.com 9

↑动态加载执行data.jar图

从data.jar代码逻辑发现,“九头虫”病毒作者完全逆向重写了root精灵的rootsdk,遵照设备型号等音信下载root-exp,其来自http://cdn.shuame.com/files/roots/xxx-id。这样直接非法利用厂商root方案,可轻松对上万种机型提权。

www.4688.com 10

↑使用root精灵图

构建“免疫系统

中标提权后,拿到设备至高权力,接下去构建自身“免疫系统”,执行如下操作。

 

(1)插入某杀软白名单

解密root工具包中的ql文件,得到将rom病毒写入某杀毒软件白名单的sql语句,通过工具包中的qlexec执行sql语句,下图将rom病毒插入杀软白名单来避开监测。

www.4688.com 11

  1. 率先需要认可你电脑上的Universal Windows
    Platform(我们现在支付的通用应用都是在一个平台啦),假若使用的是默认安装的话,会在\Program
    Files (x86)\Windows
    Kits\10\Platforms\UAP
    以此目录,如下图,复制那多少个本子号,之后需要用到。

(2)植入恶意app

将root工具包下的恶意app,以及libdataencrypt.so
植入系统目录,并利用chattr
+ia命令使得用户不可以正常卸载,最后以服务启动恶意app。注意下图绿色框中,将rom病毒lol.qv907a.Cqenthyrusxncy.apk备份到/system/etc/rom.dat,该病毒会在su和sud文件的看护下,一向运转在设备rom中。随后的第5点详细分析。

www.4688.com 12

 www.4688.com 13

(3)删除设备本身root相关文书

继承执行cl.sh脚本,删除设备本身root相关文件,保证设备上只有病毒拥有最高权力。

www.4688.com 14

  1. 右键点击需要立异的工程,选用“编辑XXX.csproj”来编排工程文件。

(4)禁用杀软

执行“pm disable”禁用多家显赫杀毒软件。

pm disable com.qihoo360.mobilesafe
pm disable com.tencent.qqpimsecure
pm disable cn.opda.a.phonoalbumshoushou

    www.4688.com 15

(5)守护rom病毒

病毒通过轮换系统服务,以致开机运行拷贝到/system/etc/目录下的医护模块,这里病毒替换了debuggerd和install-recovery.sh。这样深切植入rom的病毒,通过普通的还原出厂设置,以及进入recovery&wipe
data都爱莫能助清除。

www.4688.com 16

3.
在编辑页面找到包含TargetPlatformVersionTargetPlatformMinVersion多个节点的PropertyGroup节点(一般第一个就是-_-),
把这多少个节点的值替换成第一步中赢得的版本号。

3.3、“九头虫”恶意推广

恶意推广包括运用推广和广告弹屏点击。推广APP应用是病毒的重大目标,既可以拓宽标准应用赚取安装费用,也得以放大其他病毒安装到手机;广告弹屏也是病毒牟利的一种艺术,每成功点击两回广告,广告主会支付推广费用给黑产。

www.4688.com 17

↑静默安装

“九头虫”通过分析服务端重回的多少,对含蓄“silencePackageUrl”字段的使用举行静默安装。恶意推广数据来源于http://in\[.\]stidreamtrip.com/ni.do,每次请求上传设备信息,包括目前位置、连接网络类型、设备号等。以下是将服务端返回的数据解密,获取推广的应用信息。

{"icon":"http://cdn[.]stidreamtrip.com//accurate/niicon//a52e15d0-0353-43a4-a684-d1199f682271.png","imgs":"http://cdn[.]stidreamtrip.com//accurate/niadimg//2e528c28-9d09-4f5c-ad2e-0616f63a5c01.png","silencePackageUrl":[{"packageName":"com.bd.SuperFish","url":"http://cdn[.]stidreamtrip.com/accurate/apk/89f7b2f7-6bd5-49e9-a236-49f4ddc9ab0e.apk"}],"appId":"","silenceDownLoad":1,"sonAppkey":"5761195a67e58ebe4d002eb2(友盟)","alert":1,"appkey":"0","adkind":0,"url":"","intervalTime":120000,"adPlatType":"loveApp","content":"caha123","title":"全屏Banner-caha123-0627","codeId":"","gid":"10000","pname":"","apkFileSize":0,"adType":1,"showNums":10}
{"icon":"http://cdn[.]stidreamtrip.com//","imgs":"http://cdn[.]stidreamtrip.com//","silencePackageUrl":[{"packageName":"com.fors.mpm","url":"http://cdn[.]stidreamtrip.com/accurate/apk/f823e088d9ff4481914c9cbd21700e49.apk"}],"appId":"","silenceDownLoad":1,"sonAppkey":"0","alert":1,"appkey":"0","adkind":0,"url":"","intervalTime":0,"adPlatType":"loveApp","content":"双周结算(每月1、16号)","title":"秀色可餐-0830","codeId":"","gid":"10056","pname":"","apkFileSize":0,"adType":1,"showNums":0}
{"icon":"http://cdn[.]stidreamtrip.com//","imgs":"http://cdn[.]stidreamtrip.com//","silencePackageUrl":[{"packageName":"com.letang.game.az","url":"http://cdn[.]stidreamtrip.com/accurate/apk/44915bcf98724663851faa75ab73dff9.apk"}],"appId":"","silenceDownLoad":1,"sonAppkey":"5-3-760","alert":1,"appkey":"0","adkind":0,"url":"","intervalTime":0,"adPlatType":"loveApp","content":"王美陶百度账号-56cbc86ee0f55a3a5e0026ae(友盟)","title":"全屏Banner-0818-WMT","codeId":"","gid":"10032","pname":"","apkFileSize":0,"adType":1,"showNums":0}

下图解析“silencePackageUrl”字段信息举行静默安装。

www.4688.com 18

按照silencePackageUrl里的url字段,将apk
下载存放在/sdcard/android/data目录。在沉默安装此前会从http://cdn.stidreamtrip\[.\]com/accurate/loveApp/xiaoaisup下载xiaoaisup文件,xiaoaosup是一个本地库,通过解密自身数据段还原出提权工具。

www.4688.com 19

xiaoaisup释放的各文件功能及效用如下表格:

www.4688.com 20

realroot用来解密释放root-exp,并推行提权。对释放出root-exp分析发现,“九头虫”病毒如故使用root大师的某一方案。

www.4688.com 21

设施成功root后,使用我释放的ppm对采用举行静默安装。

www.4688.com 22

恶意弹屏广告

“九头虫”病毒集成“广点通”和“bdssp”,默认以CPC(点击计费)计费情势,也就是只要广告被点击,广告主就要支付费用。广告弹屏时势包括全屏、横幅、banner、插屏、音讯流、应用墙广告。病毒每各一分钟请求广告数据,并模拟用户点击,这样用户设备将做为“九头虫”病毒的僵尸设备,不断为黑产刷广告点击。

www.4688.com 23

 

四、“九头虫”C&C端分析

hxxp://115[.]159.20.127:9009/gamesdk/doroot.jsp
hxxp://rt-10019850[.]file.myqcloud.com/83330905/nocard0908/qv907apwedmmc001.zip
hxxp://cdn[.]shuame.com/files/roots/xxx-id
hxxp://in[.]stidreamtrip.com
hxxp://yxapi[.]youxiaoad.com

前两条来源于国内某云,用来存放在加密的提权工具包,第三条是病毒破解某闻名root接口后,直接从root精灵下载root方案,这里大家最首要分析最终两条域名。stidreamtrip.com站点用来存放加密root工具包xiaoaisup,以及恶意推广的数量。相关url如下:

hxxp://cdn[.]stidreamtrip.com/accurate/loveApp/xiaoaisup [xiaoaisup提权工具包]
hxxp://cdn[.]stidreamtrip.com//accurate/niicon/a52e15d0-0353-43a4-a684-d1199f682271.png
hxxp://cdn[.]stidreamtrip.com//accurate/niadimg//2e528c28-9d09-4f5c-ad2e-0616f63a5c01.png
hxxp://cdn[.]stidreamtrip.com/accurate/apk/44915bcf98724663851faa75ab73dff9.apk
hxxp://cdn[.]stidreamtrip.com/accurate/apk/f823e088d9ff4481914c9cbd21700e49.apk
hxxp://cdn[.]stidreamtrip.com/accurate/apk/6f24ea54ad1642189545e0aeee0d202e.apk
hxxp://cdn[.]stidreamtrip.com/accurate/apk/9de7f70625e5416b8a7739db6f64baaf.apk
hxxp://cdn[.]stidreamtrip.com/accurate/apk/25205b91d6484fde961e5a9487346981.apk
hxxp://cdn[.]stidreamtrip.com/accurate/apk/89f7b2f7-6bd5-49e9-a236-49f4ddc9ab0e.apk

通过域名备案查询发现,stidreamtrip.com是菲Nick斯一家广告投放集团,近来该站点首页已不可能访问,但存放的恶意文件任可下载。

www.4688.com 24

按照网站备案编号关联到4个网站,其领导都是同一个。最近cn-dream.com站点未利用,zpmob.com站点是“菲尼克(Nick)斯xx网络科技有限公司”主站,stidreamtrip.com站点是非法恶意推广的控制端,zhangad.com站点是它的广告平台。

www.4688.com 25

咱俩后续通过域名whois历史中涉及的qq邮箱追踪,下图伪装成广告主与公司负责人聊天。

www.4688.com 26

在该商家的广告平台上找到一供销社客服,下图与该集团客服对话。“那些已经不外放了”
,也表明了从10月“九头虫”病毒设备感染下降势头。

www.4688.com 27

修改后如下:

五、安全提出

“九头虫”病毒直接非法采用出名厂商root
sdk,以致轻松入侵上万种机型,对于root厂商,应严加校验root
请求方,对这么危险的提权代码应得到严密保安,对于用户,尽量利用大厂商设备,及时做设备系统升级;平时使用手机过程中,谨慎软件内推送的广告;来源不明的手机软件、文件、视频等不要擅自点击;定期采用钱盾等安全软件进行安全扫描。

www.4688.com 28

作者:阿里移动安全,更多安全类技术作品,请访问阿里聚安全博客

 

4.
删减所有配置是AnyCPU的PropertyGroup节点,包括子节点,因为这一个RC是不匡助的了

5.
翻看剩下配置是Release的PropertyGroup节点,假如下边没有UseDotNetNativeToolchain子节点的话,就出手加一个,值一定尽管true,
即:<UseDotNetNativeToolchain>true</UseDotNetNativeToolchain>

  1. 封存之后,右键点击项目,采用“重新加载项目”,我们的工程终于回来了lol

7.
先不用急,大家还有最终一步,修改manifest文件,将TargetPlatform节点的名字改成TargetDeviceFamily,五个version属性值改成第一步的本子号,现在我们的工程就能够利用啊。

 

  <Dependencies>
    <TargetDeviceFamily Name="Windows.Universal" MinVersion="10.0.10069.0" MaxVersionTested="10.0.10069.0" />
  </Dependencies>

 

PS:假使用地点的不二法门后,启动的时候出现错误指示的话,可能是系统版本的题材(我在10069上出错的。。),请检查你的Windows
版本号,升级到10074依旧更高版本就可以了。

 

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*
*
Website