“黑暗潛伏者” -- 手機病毒新型攻擊方式

標籤：android病毒   手機病毒   android   

近期百度安全實驗室發現一款“黑暗潛伏者”新型手機病毒。該病毒附著在眾多壁紙和遊戲類應用中。截至目前，已經發現感染該病毒的應用超過1萬多款，感染使用者超過3000萬。
 
該病毒惡意行為如下：
1、 後台利用系統漏洞擷取臨時Root許可權。
2、 擷取臨時Root許可權後，安裝SysPhones.apk惡意程式為系統軟體，安裝Root後門程式zy到/system/bin目錄。
3、 SysPhones.apk根據伺服器端指令靜默下載、安裝推廣應用，並能夠根據指令安裝推廣應用為系統軟體，從而使其無法卸載。
4、 其它未知的潛在惡意行為。
 
 
一、利用系統漏洞擷取臨時Root的方式
 
該手機病毒利用知名的Root工具FramaRoot的漏洞能力擷取臨時Root許可權。
(http://forum.xda-developers.com/apps/framaroot/root-framaroot-one-click-apk-to-root-t2130276)
FramaRoot整合了眾多Android系統漏洞Root利用代碼，目前能夠提供對近400款Android裝置的Root能力，支援裝置列表如下：
(http://forum.xda-developers.com/apps/framaroot/framaroot-supported-devices-t2722980)
FramaRoot關鍵功能都整合在libframalib.so庫中，該so庫提供了兩個介面供JAVA層調用:
Check介面： 檢測裝置漏洞，返回漏洞列表。
Launch介面：根據傳入的漏洞名稱，執行相應漏洞利用代碼擷取Root。
Root成功後安裝so庫中附帶的Superuser.apk和su檔案到系統目錄。
該手裡病毒巧妙利用了FramaRoot的工作機制，通過關鍵資料替換的方式，構建了惡意的FakeFramaRoot。如所示：
 

 

通過關鍵資料替換方式巧妙的利用了FramaRoot的Root能力，在擷取臨時Root許可權後，安裝替換後的惡意SysPhones.apk為系統應用，安裝zy到/system/bin目錄，zy作為後門程式，提供SysPhones.apk以Root使用者執行命令的能力。
 
 
二、躲避安全檢測和逆向分析的方式
 
根據檢測到的資料顯示，附帶該木馬的應用2014年2月份首次出現，到被檢測發現已默默潛伏9個月，該病毒採用了如下方式達到惡意行為隱蔽性：
1、 通過反調試技術、關鍵惡意代碼native化、關鍵代碼資料加密、網路通訊資料加密等方式阻礙逆向分析。
2、 關鍵惡意行為代碼雲端下載、動態載入。
3、 惡意行為雲端動態觸發，行為可控。
 
 
三、黑暗潛伏者工作原理
 
經過對代碼的完整逆向分析，整個手機木馬的工作原理如所示：
 

 
 
四、惡意程式碼分析
 
內嵌在應用中的惡意代碼有兩部分組成：
1、 com.android.luahc[Java]
主要上傳裝置資訊到指令伺服器，並根據指令伺服器的返回的指令下載惡意代碼FakeFramaRoot.so庫。
2、 libluahc.so[Native]
調用FakeFramaRoot.so庫，觸發擷取臨時Root許可權，安裝SysPhones.apk 和zy的惡意行為。
 
該手機木馬安裝後並不會立即觸發，只有在裝置下次重新啟動後，才會觸發惡意行為。所有關鍵字符串如網址、路徑等資訊經過加密處理並以byte數組形式存放，這樣可以躲避目前殺毒軟體的查殺。
 

 
所有的網路通訊資料都進行了加密處理，以下是com.android.luahc[Java]請求指令伺服器擷取FakeFramaRoot.so庫的網路互動資料：
請求伺服器擷取FakeFramaRoot指令：
 

 
伺服器返回資料如下：
 

 
解密後伺服器返回資料內容如下：

http://106.187.44.144/qwe

 
com.android.luahc[Java]擷取到後，下載檔案並儲存為libframalib.so1，libframalib.so1為壓縮檔，解壓後擷取libframalib.so檔案：
 

 
com.android.luahc[Java]通過調用libluahc.so間接載入FakeFramaroot.so庫函數。
 
libluahc.so 以assets/tenatt檔案附帶在應用安裝包中，運行時釋放到檔案目錄並被com.android.luahc[Java]層載入。功能如下：
1、在JNI_OnLoad中通過調用ptrace達到反調試目的：
 

 
2、載入fakeframaroot.so庫並調用check介面擷取漏洞列表
 

 
3、載入fakeframaroot.so庫並調用launch介面進行Root
 

 
FakeFramaroot.so在擷取臨時Root許可權後，安裝惡意SysPhones.apk為系統應用，安裝zy到/system/bin目錄，zy作為後門程式，提供SysPhones.apk以Root使用者執行命令的能力。
 
SysPhones.apk惡意程式碼結構如下：
 

 
SysPhones.apk開機後自動啟動，後台請求伺服器擷取指令，並根據伺服器指令靜默下載、安裝推廣應用。
請求資料如下：
 

 
解密伺服器返回結果如下：
org.zxl.appstats 4.0 http://dl.appfreestore.com/1104/AppStats.apk 1 0
 
返回指令格式為：
[包名] [版本] [] [是否安裝為系統應用(1:系統應用)] [保留]
 
解密並解析返回結果代碼如下：
 

 
根據指令構建命令指令碼：
 

 
通過SysPhones.apk的libSysPhones.so擷取調用zy可執行檔所需的password參數：
 

 
調用zy程式執行構建的命令指令碼：
 

 
zy做為Root後門在系統目錄，它接收外部轉過來的指令，並以Root身份執行傳入的shell命令。
調用格式為：
zy password command
password：通過SysPhones.apk中的libSysPhones.so擷取，這樣能夠保證該後門僅供惡意開發人員使用。
 

“黑暗潛伏者” -- 手機病毒新型攻擊方式