【原創】來自遠方的“殭屍之手”，來自遠方殭屍

【原創】來自遠方的“殭屍之手”，來自遠方殭屍

來自遠方的“殭屍之手”

 

 

最近，安天AVLMobile Security和獵豹Mobile Security實驗室共同截獲病毒“殭屍之手“——一種偽裝成正常應用，並通過遠程指令控制中毒手機，實施惡意行為的病毒。該病毒通常偽裝成正常的工具類應用或娛樂類應用進行傳播（如所示）。“殭屍之手”在使用者未察覺其為病毒的情況下安裝進入使用者手機，成功繞開部分殺毒軟體的查殺後，進而連網下載實際發揮惡意作用的程式並誘導使用者安裝。一旦實現遠端控制中毒使用者手機，“殭屍之手”將強制手機下載更多其他病毒軟體並嘗試安裝。

圖  偽裝正常應用的“殭屍之手”系列應用

如果你以為這樣就算完了，

小編只能朝天猛吼一句，

圖樣圖森破啊！

 

如果已Root的手機不幸中招，該病毒在擷取中招手機Root許可權後將自動下載並安裝、運行病毒軟體，造成使用者流量和資費的嚴重損耗！此外，“殭屍之手”還會在特定時機自動卸載病毒，第一時間清理“作案”現場，中招的使用者往往話費被”掏空“了都不知道是為啥…

 

經過分析，安天AVLMobile Security和獵豹Mobile Security實驗室總結“殭屍之手“惡意軟體有如下行為特徵：

1、   惡意程式啟動後，會私自下載其他惡意子程式，安裝並啟動惡意子程式。

2、   惡意子程式啟動後，會執行惡意計費、流氓推送等惡意行為。

3、   惡意子程式啟動本地服務並常駐後台，同時每隔15分鐘連網擷取遠端控制指令，根據指令進行相應操作。

圖 “殭屍之手”作案流程圖

一、惡意代碼詳細分析Step1：下載並安裝惡意子程式

程式啟動後，通過監聽使用者開機啟動、解鎖、網路變化的情況來啟動惡意程式相應的功能模組，功能模組啟動後會通過網址http://dfchan.cn.com:8080/a/dfc_poll2.apk下載惡意子程式。

 

圖 下載惡意子程式

該惡意程式在惡意子程式下載結束後會請求root許可權，並試圖使用shell cat命令將惡意子程式重新導向到系統目錄下，若重新導向失敗會試圖使用pm install –r 命令靜默安裝惡意子程式，如果仍然失敗則會彈出“您有組件需要立即更新，點擊更新”的通知欄，誘導使用者主動點擊進行安裝。

 

圖 重新導向惡意子程式到系統目錄

圖 靜默安裝惡意子程式

圖 通知欄誘導安裝惡意子程式

Step2：通過遠程指令控制推送惡意應用安裝、運行和卸載

該惡意軟體成功安裝惡意子程式後，會建立一個每隔15分鐘啟動的定時服務：CmdService。該服務啟動後，惡意軟體通過網址：http://111.67.201.217:8080/a/taskList5.txt連網擷取遠端控制指令，同時解析指令執行相應的操作。

 

遠程指令格式：#StartHour~EndHour,, ,,classname-cmdid url packagename servicename

指令欄位說明：

 

當前活躍的遠程指令主要在Sao和Browse類中，指令資訊如所示：

 

從Sao類中擷取下載apk的網址，下載並將apk檔案儲存在files目錄。程式通過請求root許可權試圖將下載的apk進行靜默安裝或使用系統安裝介面進行安裝，並使用包名和service來啟動apk，最後將這些安裝啟動並執行apk加入到卸載列表。

 

在當前活躍指令中的網址下載的apk程式大部分為惡意應用，檢出結果如下表：

 

該惡意軟體成功申請root許可權後，定時服務CmdService再次執行時會將卸載列表中的惡意apk通過pm uninstall命令進行靜默卸載，同時接收新的指令並執行。

 

 

在Browse類中，通過指令擷取資料構造Uri去開啟指定介面，在當前案例中通過瀏覽器來訪問網址http://down.huobaotv.org/344/huobaotv.app下載服務端指定的安全性未知的應用。

 

各類執行的指令功能如所示：

 

Step3：惡意代碼來源與行為類型分析

通過對該惡意軟體來源進行調查分析，安天AVLMobile Security和獵豹Mobile Security實驗室共同發現該ftp.dsmer.com網域名稱下77%的樣本皆為惡意樣本，並且可以被安天AVL SDK反病毒引擎全部檢出。被檢出樣本行為分布如下：

 

 

二、安全建議

針對“殭屍之手“系列惡意軟體，AVL Pro和獵豹安全大師已經實現全面查殺。安天AVLMobile Security和獵豹Mobile Security實驗室提醒您：

1、   請保持良好的上網習慣，不要在非官方網站或者不知名應用市場下載任何應用；

2、   經常使用殺毒軟體病毒掃描功能，以確認您的手機中是否可能存在安全隱患；

3、   盡量不要Root手機，已Root的手機使用者請務必謹慎，不要輕易授予Root許可權給您不信任的軟體。

 

安天AVLMobile Security專註於移動互連網安全技術研究及反病毒引擎研發，提供強大的Mobile Security解決方案。2014年，安天AVLMobile Security與獵豹達成AVL SDK反病毒引擎戰略合作。

歡迎關注安天AVLMobile Security的公眾號AVLTeam，擷取更多Mobile Security相關資訊以及合作諮詢。

轉載請註明來源：http://blog.avlyun.com/?p=2940