Browsed by
月份:2014年3月

Pileup漏洞:升级安卓系统所面临的安全风险

Pileup漏洞:升级安卓系统所面临的安全风险

近日,印第安纳大学系统安全实验室和微软研究院的研究人员发现了若干可在安卓系统更新之后所触发的安全漏洞。恶意应用在系统尚未升级时植入系统,并申请一些更新之后才存在的特性或者资源;利用PMS(PackageManager
Oldboot.B:与Bootkit技术结合的木马隐藏手段的运用

Oldboot.B:与Bootkit技术结合的木马隐藏手段的运用

作者:iRiqium,赵润泽,蒋旭宪 一个多月之前,我们在Android平台上发现了世界上第一个采用Bootkit技术的木马---Oldboot[1](中文名:不死木马)。通过刷机等方式,Oldboot木马被植入手机ROM的BOOT分区中,在Android系统启动的早期阶段就得以运行,并进行一系列恶意行为。为此,我们在全球率先发布了Oldboot木马专杀工具,帮助用户检测和防御Oldboot木马。 近日,我们又截获了Oldboot木马家族的新变种—Oldboot.B,它与Oldboot.A一样采用Bootkit技术并静默安装APP。比较特别的是,Oldboot.B采用了一系列技术来对抗杀毒软件的查杀和病毒分析人员的分析,主要体现在代码加密、防卸载、注入系统进程、卸载或者禁用杀毒软件进程、隐写术(Steganography)等功能的加入。同时,Oldboot.B的隐蔽性得到了极大加强,采用了很多对抗技术有个别组件实现了“无进程”、“有进程无文件”等高级特性,详情请参考第二部分中的对抗与趋势分析,这些功能的具体实现请参考第一步部分中代码分析。Oldboot.B使用的这些技术,很多都是首次在Android平台上出现。无论是国内还是国外,在Android平台上的所有木马中,Oldboot木马家族使用的技术一直是领先的,Oldboot家族代表着Android平台的恶意软件的趋势。从分析结果中很容易就可以看出,Oldboot是一个组织严密、分工明确的庞大的木马家族,由专业的程序员编写,由商业公司来推动,并在不断的进化中,我们已经开发了新的专杀工具,可以有效地检测、清除和防御这个Bootkit。 一、   
EvilGuard:Anroid平台新的攻击方式

EvilGuard:Anroid平台新的攻击方式

作者: 张昊 近日,我们发现了Android平台上首个采用进程保护技术的木马。该木马通过执行自身释放的恶意可执行文件,达到自我保护对抗杀毒软件清除的目的,我们将这个木马家族命名为“EvilGuard”,并独家发布了恶魔守护者木马专杀工具(下载),帮助用户免受其危害。 样本结构 EvilGuard主要由主包android.system.manager和由主包释放出来的子包com.android.tservice组成。主包和子包分别包含了ELF可执行文件libesmanager.so、safe。 行为概述 EvilGuard伪装成需要Root提权功能的软件,如“内置软件卸载”,木马尝试使用多个公开漏洞提升Root权限,并且在/system/bin下释放自己的Root后门ELF可执行文件sl。在提权操作的同时将伪装成系统软件的恶意APK子包通过主包加载的libesmanager.so文件释放安装到system/app下面,同时主包立即运行子包。 子包启动后释放恶意ELF文件safe到system/bin下,safe文件行为是备份子包到SD卡,并且后台不断检测子包和备份是否被删除,若其中一个被删除则立即恢复,保护子包不被卸载。子包除了防止卸载之外,还会联网接收远程服务器指令,指令包括子包自更新,上传手机信息,固件信息,下载未知APK文件静默安装运行等。 原理分析     
安卓远控木马黑色产业链渐成气候,谨防手机变“肉鸡”

安卓远控木马黑色产业链渐成气候,谨防手机变“肉鸡”

作者:申迪 最近,国外接连爆出若干安卓平台的远程控制木马,这些木马被植入用户的手机之后,接收服务器的指令进行隐私窃取。攻击者在Web管理页面可以方便的针对每个人下发不同的控制指令。而值得注意的是,一款名为Dendroid的木马在国外的黑市中以300美元售卖,接收比特币或莱特币支付。木马购买者享受的服务包括apk木马软件本身,一套WEB管理页面,以及7X24小时的客户服务。此外,作者还提供软件捆绑服务,购买者可以将木马捆绑在正常软件中,绕过了一些无严格人工审查的应用市场审核,将木马通过市场分发。据了解,该木马甚至曾在国外某些知名市场上架。这表明远控木马的黑色产业链已经形成,众多手机用户面临可能沦为“肉鸡”的风险。 目前,360手机卫士已经可以查杀此类木马,同时建议用户使用360手机助手安装软件,避免此类木马的侵袭。 木马特征 后台地址被写死在程序代码中,解密后是http://friendclub.im/dendroid
浏览器杀手 :“暗杀黑帮”木马的技术分析

浏览器杀手 :“暗杀黑帮”木马的技术分析

作者:陈宏伟 张昊 近日,不少网友反馈称UC浏览器在手机解锁后无故被卸载删除。360手机安全中心研究发现这是“暗杀黑帮”木马所为,据360手机安全专家分析,该木马很可能通过手机预装系统或第三方ROM感染,木马在云端远程控制下可删除任何指定软件和安装任何指定软件,不排除后续演化成更加恶劣的扣费行径。粗略统计,仅一月时间该木马已感染近百万安卓手机,甚至包括部分智能电视也已中招。暗杀黑帮木马的病毒文件很多,其中有一些深深扎根于系统的ROM中,普通的手机杀毒软件难以清除,为此,360手机安全中心独家发布“暗杀黑帮”木马专杀工具(下载),完全清除该木马,保护用户的信息和财产安全。 下面是“暗杀黑帮”木马的完整分析报告。 目录 第一部分
国内首个利用JavaScript脚本远控木马的技术分析报告

国内首个利用JavaScript脚本远控木马的技术分析报告

作者:陈宏伟 张昊 360手机安全中心日前研究发现,国内首个利用JavaScript脚本远控的“灰鸽子”木马,木马会截取、偷发手机短信,并存在后台下载、安装其他应用的恶意行为。该木马侵入手机后不会出现图标,通过加密的本地JavaScript代码方式作恶,非常隐蔽,很难被发现。360手机安全专家指出,该木马被内置在手机ROM中,建议手机用户通过正规渠道购买手机、同时谨慎刷机,目前,360手机卫士已经可以查杀该木马并在木马偷发短信时进行拦截。 包名:com.android.systemservice MD5:30e9738d8d9c866dcddfb106efdfa490 应用名:SystemService 简介:该恶意样本利用WebView组件的addJavascriptInterface函数关联了本地java代码和JavaScript代码,服务器通过下发含有特定的JavaScript脚本的html,本地打开html,实现多种恶意行为。 恶意样本声明的权限: 该样本安装后没有图标,没有activity,只能通过接收系统广播实现启动。 启动入口 一、调试时实际触发功能的详细分析 当接收到android.intent.action.BOOT_COMPLETED(手机启动完成)或android.intent.action.NEW_OUTGOING_CALL(播出电话)广播后,启动核心服务 核心服务启动后,先设置一些参数,以便后续的运行。 然后访问服务器获取指令。 控制服务器IP地址:42.121.18.43   html文件的存储位置 通过分析样本实际运行时生成的html文件,可看到其中含有加密过的JavaScript函数,加密方式为修改过的base64。 设置webview的JavaScriptEnabled的功能为开启,并且添加JavascriptInterface设置java函数和JavaScript函数关联。 其中的utils.base64decode是在java中实现 解密的实现 html文件中函数解密后的内容 发短信相关代码 从实际抓取到的html文件中可看到,执行了java层的发送短信功能,发送“a123123”到“1069009088”。并且设置“1069009”为拦截号码,“新浪”为拦截关键字。 私发短信的目标号码和内容 同时设置3个参数:Prefix为拦截号码,Content为拦截内容关键字,CallBackJs为回调JavaScript函数。 将上面的三个参数加密存储在data/data/com.android.systemservice/files/datas/data.ini中 data.ini存储的位置 data.ini存储的内容 样本的另一种启动方式是监听android.provider.Telephony.SMS_RECEIVED(接收短信)广播,当收到该广播后,先执行如下代码: 获取所接收短信的内容和号码,并保存到map中。 遍历map处理短信。 读取配置,这个配置是以加密文件形式存在data/data/com.android.systemservice/files/datas/data.ini中的。 读取并解密data.ini文件 解密后的文件内容 其中的Content,Prefix,CallBackJs即为配置参数。 匹配短信拦截条件 短信被拦截后,执行下发的回调JavaScript脚本。 执行的JavaScript脚本 主要行为是上传一些用户信息至服务器。 包括:“开通”字样的短信、IMSI、手机型号、操作系统版本等。 二、样本可实现的其他功能 通过服务端下发不同的js文件,该样本代码上还可实现其他功能,不过我们在调试过程中并没有触发。 静默下载并安装app 后台下载app 静默安装app shell的执行 2.动态加载dex dex文件的url由JavaScript指定,后台下载后加载运行。 3、延时发送短信  
FakeDebuggerd Android rootkit分析报告

FakeDebuggerd Android rootkit分析报告

作者:申迪 一、概述 这是一个rom级别的木马。木马替换系统进程debuggerd实现自启动,重启回写若干apk/jar/elf文件。支持网络和短信两种远控模式,并且带有十几个可配置参数。 只要/system/bin/debuggerd没有被清理,FakeDebuggerd就能从/system/bin/debuggerd文件尾部将所有被删除的文件重新释放。 而debuggerd是原生服务,本身就是开机启动进程,因此木马不需要对init.rc或者其他脚本做额外修改,这样整个行为会更加隐蔽。 FakeDebuggerd加密所有字符串,回写时修复文件创建时间,即使木马apk被发现,也不能通过在目录中暴力搜索字符串来找到作恶的源头/system/bin/debuggerd。从恶意行为上看,该木马具有回写推广widget、篡改默认浏览器主页、静默安装apk,窃取用户手机号、硬件编号、地理位置等恶意行为,木马作者还可以根据回传的手机号单独下发控制配置。 该样本的衍生程序早期变种在2011年末就被发现,本次发现的是其最新变种。目前360已经能够彻底查杀。(专杀工具下载) 二、追根溯源 起初通过pm命令我只能发现可疑系统程序的路径在