Android教程網
  1. 首頁
  2. Android 技術
  3. Android 手機
  4. Android 系統教程
  5. Android 游戲
 Android教程網 >> Android技術 >> Android開發 >> 關於android開發 >> 【原創】來自遠方的“僵屍之手”,來自遠方僵屍

【原創】來自遠方的“僵屍之手”,來自遠方僵屍

編輯:關於android開發

【原創】來自遠方的“僵屍之手”,來自遠方僵屍


來自遠方的僵屍之手

 

 

最近,安天AVL移動安全和獵豹移動安全實驗室共同截獲病毒“僵屍之手“——一種偽裝成正常應用,並通過遠程指令控制中毒手機,實施惡意行為的病毒。該病毒通常偽裝成正常的工具類應用或娛樂類應用進行傳播(如下圖所示)。“僵屍之手”在用戶未察覺其為病毒的情況下安裝進入用戶手機,成功繞開部分殺毒軟件的查殺後,進而聯網下載實際發揮惡意作用的程序並誘導用戶安裝。一旦實現遠程控制中毒用戶手機,“僵屍之手”將強制手機下載更多其他病毒軟件並嘗試安裝。

圖  偽裝正常應用的“僵屍之手”系列應用

如果你以為這樣就算完了,

小編只能朝天猛吼一句,

圖樣圖森破啊!

 

如果已Root的手機不幸中招,該病毒在獲取中招手機Root權限後將自動下載並安裝、運行病毒軟件,造成用戶流量和資費的嚴重損耗!此外,“僵屍之手”還會在特定時機自動卸載病毒,第一時間清理“作案”現場,中招的用戶往往話費被”掏空“了都不知道是為啥…

 

經過分析,安天AVL移動安全和獵豹移動安全實驗室總結“僵屍之手“惡意軟件有如下行為特征:

1、   惡意程序啟動後,會私自下載其他惡意子程序,安裝並啟動惡意子程序。

2、   惡意子程序啟動後,會執行惡意扣費、流氓推送等惡意行為。

3、   惡意子程序啟動本地服務並常駐後台,同時每隔15分鐘聯網獲取遠程控制指令,根據指令進行相應操作。

圖 “僵屍之手”作案流程圖

一、惡意代碼詳細分析

Step1:下載並安裝惡意子程序

程序啟動後,通過監聽用戶開機啟動、解鎖、網絡變化的情況來啟動惡意程序相應的功能模塊,功能模塊啟動後會通過網址http://dfchan.cn.com:8080/a/dfc_poll2.apk下載惡意子程序。

 

圖 下載惡意子程序

該惡意程序在惡意子程序下載結束後會請求root權限,並試圖使用shell cat命令將惡意子程序重定向到系統目錄下,若重定向失敗會試圖使用pm install –r 命令靜默安裝惡意子程序,如果仍然失敗則會彈出“您有組件需要立即更新,點擊更新”的通知欄,誘導用戶主動點擊進行安裝。

 

圖 重定向惡意子程序到系統目錄

圖 靜默安裝惡意子程序

圖 通知欄誘導安裝惡意子程序

Step2:通過遠程指令控制推送惡意應用安裝、運行和卸載

該惡意軟件成功安裝惡意子程序後,會創建一個每隔15分鐘啟動的定時服務:CmdService。該服務啟動後,惡意軟件通過網址:http://111.67.201.217:8080/a/taskList5.txt聯網獲取遠程控制指令,同時解析指令執行相應的操作。

 

遠程指令格式:#StartHour~EndHour,, ,,classname-cmdid url packagename servicename

指令字段說明:

 

當前活躍的遠程指令主要在Sao和Browse類中,指令信息如下圖所示:

 

從Sao類中獲取下載apk的網址,下載並將apk文件保存在files目錄。程序通過請求root權限試圖將下載的apk進行靜默安裝或使用系統安裝界面進行安裝,並使用包名和service來啟動apk,最後將這些安裝運行的apk加入到卸載列表。

 

在當前活躍指令中的網址下載的apk程序大部分為惡意應用,檢出結果如下表:

 

該惡意軟件成功申請root權限後,定時服務CmdService再次執行時會將卸載列表中的惡意apk通過pm uninstall命令進行靜默卸載,同時接收新的指令並執行。

 

 

在Browse類中,通過指令獲取數據構造Uri去打開指定界面,在當前案例中通過浏覽器來訪問網址http://down.huobaotv.org/344/huobaotv.app下載服務端指定的安全性未知的應用。

 

各類執行的指令功能如下圖所示:

 

Step3:惡意代碼來源與行為類型分析

通過對該惡意軟件來源進行調查分析,安天AVL移動安全和獵豹移動安全實驗室共同發現該ftp.dsmer.com域名下77%的樣本皆為惡意樣本,並且可以被安天AVL SDK反病毒引擎全部檢出。被檢出樣本行為分布如下:

 

 

二、安全建議

針對“僵屍之手“系列惡意軟件,AVL Pro和獵豹安全大師已經實現全面查殺。安天AVL移動安全和獵豹移動安全實驗室提醒您:

1、   請保持良好的上網習慣,不要在非官方網站或者不知名應用市場下載任何應用;

2、   經常使用殺毒軟件病毒掃描功能,以確認您的手機中是否可能存在安全隱患;

3、   盡量不要Root手機,已Root的手機用戶請務必謹慎,不要輕易授予Root權限給您不信任的軟件。

 

安天AVL移動安全專注於移動互聯網安全技術研究及反病毒引擎研發,提供強大的移動安全解決方案。2014年,安天AVL移動安全與獵豹達成AVL SDK反病毒引擎戰略合作。

歡迎關注安天AVL移動安全的微信公眾號AVLTeam,獲取更多移動安全相關資訊以及合作咨詢。

轉載請注明來源:http://blog.avlyun.com/?p=2940

 

 

 

  1. 上一頁:
  2. 下一頁:
熱門文章
閱讀排行版
Copyright © Android教程網 All Rights Reserved