“九头虫”病毒技术分析报告-阿里云开发者社区

开发者社区> 美人迟暮> 正文

“九头虫”病毒技术分析报告

简介:
+关注继续查看

“九头虫”病毒技术分析报告

 2016年10月19日 10:38  4601

一、背景介绍

近日,阿里移动安全收到多方用户反馈,手机中了一种难以清除的病毒。病毒一旦发作,设备将不断弹出广告,并自动下载、安装、启动恶意应用,最终设备衰竭而死,用户很难通过常规的卸载手段清除病毒。由于该病毒有多个版本演变并有起死回生之术,我们将该病毒命名为“九头虫”。


我们分析发现,“九头虫”病毒利用多家知名root sdk对设备提权,可轻松提权上万总机型,成功提权后获得设备最高权限,随后向系统分区植入多个恶意app,删除设备其他root授权程序、su文件,并替换系统启动脚本文件,实现“起死回生”同时保证病毒具备root权限,将自身插入某杀软白名单中,并禁用掉国内多家知名杀软,致使设备安全防护功能全线瘫痪。


中毒设备将作为“九头虫”病毒的僵尸设备,每天推送上百万广告,其点击率大概15%(主要是病毒自身的模拟点击),也就是说每天广告点击上10万次,再加上静默安装与欺骗安装,每成功安装激活赚取1.5~2元,如此收益不菲!


二、“九头虫”传播途径与感染数据统计

2.1、传播途径

最早我们截获到伪装成“中国好声音”应用的“九头虫”病毒,通过排查历史样本,我们发现大量“九头虫”变种病毒,其传播方式包括:伪装成热门应用、重打包生活服务类、色情诱惑类、系统工具类应用,比如伪装成“中国好声音”、“清理大师”、“新浪娱乐”等,以及色情应用“帮学姐洗澡”、“性感の嫩模”、“寂寞少妇”等,同时“九头虫”的恶意模块完全受云端控制,导致用户也不清除中毒来源。


传播病毒图标


2.2、感染数据统计

1、全国地区感染分布

对2016年初到2016年10月的监测统计数据显示,“九头虫”病毒累计设备感染量高达33万。从感染地区分布图中可以看出四川、广东是感染重灾区。


2、每月设备感染趋势

从每月设备感染趋势图可以看出,“九头虫”病毒爆发周期是4~5个月,在随后的4~5个月每月感染数下降,这正好也是病毒变种的一个周期。最近在8月初达到峰值,随后几月将是衰减期。


三、深入分析

“九头虫”病毒分为注入rom病毒和恶意推广两个模块,注入rom病毒是“九头虫”家族的最新变种,执行流程图如下。


3.1、病毒母包

母包的MyApp组件是恶意代码入口点,完成libOgdfhhiaxn.so加载和assets目录下xhmf文件解密加载,随后“九头虫”病毒分别进行注入rom病毒和恶意推广。


3.2、“九头虫”注入rom病毒

“九头虫”释放多个家族恶意应用,潜伏在系统应用中,频繁弹出恶意广告,严重干扰手机正常使用。注入rom病毒过程如下。


执行提权

首先获取root工具包。libOgfhhixan.so动态加载由assets目录下的Zvtwk文件释放的oko.jar。oko.jar子包联网请求提权工具下载地址,随后下载并本地解密获得提权工具包cab.zip。

请求获取提前工具包下载地址图


提权工具包中文件以及功能如下表:



接下来加载执行root sdk既是data.jar文件,成功加载后“九头虫”会删除本地的cab.zip和data.jar文件。

动态加载执行data.jar图


从data.jar代码逻辑发现,“九头虫”病毒作者完全逆向重写了root精灵的rootsdk,根据设备型号等信息下载root-exp,其来源http://cdn.shuame.com/files/roots/xxx-id。这样直接非法利用厂商root方案,可轻松对上万种机型提权。

使用root精灵图


构建“免疫系统”

成功提权后,拿到设备至高权限,接下来构建自身“免疫系统”,执行如下操作。

(1)插入某杀软白名单

解密root工具包中的ql文件,获得将rom病毒写入某杀毒软件白名单的sql语句,通过工具包中的qlexec执行sql语句,下图将rom病毒插入杀软白名单来躲避监测。


(2)植入恶意app

将root工具包下的恶意app,以及libdataencrypt.so 植入系统目录,并使用chattr +ia命令使得用户无法正常卸载,最后以服务启动恶意app。注意下图红色框中,将rom病毒lol.qv907a.Cqenthyrusxncy.apk备份到/system/etc/rom.dat,该病毒会在su和sud文件的守护下,一直运行在设备rom中。随后的第5点详细分析。


(3)删除设备本身root相关文件

接续执行cl.sh脚本,删除设备本身root相关文件,保证设备上只有病毒拥有最高权限。


(4)禁用杀软

执行“pm disable”禁用多家知名杀毒软件。

pm disable com.qihoo360.mobilesafe

pm disable com.tencent.qqpimsecure

pm disable cn.opda.a.phonoalbumshoushou

(5)守护rom病毒

病毒通过替换系统服务,以致开机运行拷贝到/system/etc/目录下的守护模块,这里病毒替换了debuggerd和install-recovery.sh。这样深深植入rom的病毒,通过普通的恢复出厂设置,以及进入recovery&wipe data都无法清除。


3.3、“九头虫”恶意推广

恶意推广包括应用推广和广告弹屏点击。推广APP应用是病毒的主要目的,既可以推广正规应用赚取安装费用,也可以推广其他病毒安装到手机;广告弹屏也是病毒牟利的一种方式,每成功点击一次广告,广告主会支付推广费用给黑产。

静默安装


“九头虫”通过解析服务端返回的数据,对包含“silencePackageUrl”字段的应用进行静默安装。恶意推广数据来自http://in[.]stidreamtrip.com/ni.do,每次请求上传设备信息,包括目前位置、连接网络类型、设备号等。以下是将服务端返回的数据解密,获取推广的应用信息。

  • {"icon":"http://cdn[.]stidreamtrip.com//accurate/niicon//a52e15d0-0353-43a4-a684-d1199f682271.png","imgs":"http://cdn[.]stidreamtrip.com//accurate/niadimg//2e528c28-9d09-4f5c-ad2e-0616f63a5c01.png","silencePackageUrl":[{"packageName":"com.bd.SuperFish","url":"http://cdn[.]stidreamtrip.com/accurate/apk/89f7b2f7-6bd5-49e9-a236-49f4ddc9ab0e.apk"}],"appId":"","silenceDownLoad":1,"sonAppkey":"5761195a67e58ebe4d002eb2(友盟)","alert":1,"appkey":"0","adkind":0,"url":"","intervalTime":120000,"adPlatType":"loveApp","content":"caha123","title":"全屏Banner-caha123-0627","codeId":"","gid":"10000","pname":"","apkFileSize":0,"adType":1,"showNums":10}
  • {"icon":"http://cdn[.]stidreamtrip.com//","imgs":"http://cdn[.]stidreamtrip.com//","silencePackageUrl":[{"packageName":"com.fors.mpm","url":"http://cdn[.]stidreamtrip.com/accurate/apk/f823e088d9ff4481914c9cbd21700e49.apk"}],"appId":"","silenceDownLoad":1,"sonAppkey":"0","alert":1,"appkey":"0","adkind":0,"url":"","intervalTime":0,"adPlatType":"loveApp","content":"双周结算(每月1、16号)","title":"秀色可餐-0830","codeId":"","gid":"10056","pname":"","apkFileSize":0,"adType":1,"showNums":0}
  • {"icon":"http://cdn[.]stidreamtrip.com//","imgs":"http://cdn[.]stidreamtrip.com//","silencePackageUrl":[{"packageName":"com.letang.game.az","url":"http://cdn[.]stidreamtrip.com/accurate/apk/44915bcf98724663851faa75ab73dff9.apk"}],"appId":"","silenceDownLoad":1,"sonAppkey":"5-3-760","alert":1,"appkey":"0","adkind":0,"url":"","intervalTime":0,"adPlatType":"loveApp","content":"王美陶百度账号-56cbc86ee0f55a3a5e0026ae(友盟)","title":"全屏Banner-0818-WMT","codeId":"","gid":"10032","pname":"","apkFileSize":0,"adType":1,"showNums":0}


下图解析“silencePackageUrl”字段信息进行静默安装。

根据silencePackageUrl里的url字段,将apk 下载存放在/sdcard/android/data目录。在静默安装之前会从http://cdn.stidreamtrip[.]com/accurate/loveApp/xiaoaisup下载xiaoaisup文件,xiaoaosup是一个本地库,通过解密自身数据段还原出提权工具。

xiaoaisup释放的各文件功能及作用如下表格:



realroot用来解密释放root-exp,并执行提权。对释放出root-exp分析发现,“九头虫”病毒竟然使用root大师的某一方案。


设备成功root后,使用自身释放的ppm对应用进行静默安装。


恶意弹屏广告

“九头虫”病毒集成“广点通”和“bdssp”,默认以CPC(点击计费)计费模式,也就是只要广告被点击,广告主就要支付费用。广告弹屏形势包括全屏、横幅、banner、插屏、信息流、应用墙广告。病毒每各一分钟请求广告数据,并模拟用户点击,这样用户设备将做为“九头虫”病毒的僵尸设备,不断为黑产刷广告点击。



四、“九头虫”C&C端分析

hxxp://115[.]159.20.127:9009/gamesdk/doroot.jsp

hxxp://rt-10019850[.]file.myqcloud.com/83330905/nocard0908/qv907apwedmmc001.zip

hxxp://cdn[.]shuame.com/files/roots/xxx-id

hxxp://in[.]stidreamtrip.com

hxxp://yxapi[.]youxiaoad.com


前两条来自国内某云,用来存放加密的提权工具包,第三条是病毒破解某知名root接口后,直接从root精灵下载root方案,这里我们主要分析最后两条域名。stidreamtrip.com站点用来存放加密root工具包xiaoaisup,以及恶意推广的数据。相关url如下:

hxxp://cdn[.]stidreamtrip.com/accurate/loveApp/xiaoaisup [xiaoaisup提权工具包]

hxxp://cdn[.]stidreamtrip.com//accurate/niicon/a52e15d0-0353-43a4-a684-d1199f682271.png

hxxp://cdn[.]stidreamtrip.com//accurate/niadimg//2e528c28-9d09-4f5c-ad2e-0616f63a5c01.png

hxxp://cdn[.]stidreamtrip.com/accurate/apk/44915bcf98724663851faa75ab73dff9.apk

hxxp://cdn[.]stidreamtrip.com/accurate/apk/f823e088d9ff4481914c9cbd21700e49.apk

hxxp://cdn[.]stidreamtrip.com/accurate/apk/6f24ea54ad1642189545e0aeee0d202e.apk

hxxp://cdn[.]stidreamtrip.com/accurate/apk/9de7f70625e5416b8a7739db6f64baaf.apk

hxxp://cdn[.]stidreamtrip.com/accurate/apk/25205b91d6484fde961e5a9487346981.apk

hxxp://cdn[.]stidreamtrip.com/accurate/apk/89f7b2f7-6bd5-49e9-a236-49f4ddc9ab0e.apk


通过域名备案查询发现,stidreamtrip.com是重庆一家广告投放公司,目前该站点首页已不能访问,但存放的恶意文件任可下载。


根据网站备案编号关联到4个网站,其负责人都是同一个。目前cn-dream.com站点未使用,zpmob.com站点是“重庆xx网络科技有限公司”主站,stidreamtrip.com站点是非法恶意推广的控制端,zhangad.com站点是它的广告平台。


我们继续通过域名whois历史中涉及的qq邮箱追踪,下图伪装成广告主与公司负责人聊天。



在该公司的广告平台上找到一公司客服,下图与该公司客服对话。“那个已经不外放了” ,也证实了从9月“九头虫”病毒设备感染下降趋势。


五、安全建议

“九头虫”病毒直接非法利用知名厂商root sdk,以致轻松入侵上万种机型,对于root厂商,应严格校验root 请求方,对如此危险的提权代码应得到严密保护,对于用户,尽量使用大厂商设备,及时做设备系统升级;日常使用手机过程中,谨慎软件内推送的广告;来源不明的手机软件、文件、视频等不要随意点击;定期使用钱盾等安全软件进行安全扫描。


本文来自合作伙伴“阿里聚安全”.

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云高效基因序列检索助力新冠肺炎病毒序列快速分析
阿里云高效基因序列检索助力新冠肺炎病毒序列快速分析
142 0
病毒木马防御与分析实战
《病毒木马防御与分析》系列以真实的病毒木马(或恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法,对其彻底查杀。当然,因为我个人水平的有限,查杀分析的病毒可能不是过于高端复杂,但对你认识病毒工作原理还是会很有帮助的,甚至最后你也可以利用c语言实现一个简单的病毒程序。
3360 0
2008反病毒市场分析:免费VS云安全
计算机病毒从初生到如今已经走过了20多个春秋。20多年的计算机病毒发展历程,见证了中国信息安全市场的成长。时至今日,计算机病毒与反计算机病毒的方方面面都发生了变化,一场由计算机病毒引发的市场争夺战全面打响。
858 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
3992 0
云上mNGS分析: 通过云服务60秒完成病毒序列比对
新型冠状病毒SARS-CoV-2 RNA在发病后数周内在上呼吸道或下呼吸道中检测到,用于泛病原体检测的基因组下一代测序(mNGS)为此次新冠病毒SARS-CoV-2 RNA 的早期发现和准确测序立下了汗马功劳。 阿里云基因计算服务AGS提供了针对mNGS宏基因组测序数据的快速比对能力,只需要一个阿里云的对象存储Bucket和AGS命令行工具,对一组肺泡采样测序的宏基因组数据3.2Gbase(22M reads),60秒内可以完成和已知的病原体基因组包括新型冠状病毒SARS-CoV-2和39种BetaCov RNA的参考序列的比对,并且支持自定义的病毒库的上传和比对。
753 0
新冠病毒肺炎疫情数据分析 APP 发布 国际疫情大盘
SLS 发布针对新冠病毒肺炎疫情国内动态展示分析的 APP 已经全面开放给政府、社区、第三方平台和开放者进行广泛应用,完全免费开放。随着新冠病毒肺炎疫情在全球爆发,又推出跟踪关注全球范围疫情动态的分析大盘。
1907 0
+关注
美人迟暮
Nothing for nothing.
1020
文章
212
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载