Browsed by
月份:2014年11月

“长老木马”三代揪出背后“大毒枭”

“长老木马”三代揪出背后“大毒枭”

作者:360Android分析团队     一、冰山一角 近期很多网友的Android手机上“莫名其妙”地出现了“手电筒”、“日历”等应用,并且在没有root的前提下无法卸载。即使获得了root权限卸载了,没过多久又会再次出现。根据360互联网安全中心统计,相关的受感染用户已经超过百万。 二、始作俑者 经过大量的用户配合反馈以及360互联网安全中心细致分析排查后,我们发现始作俑者为“长老木马(FakeDebuggerd)”家族的最新变种,该木马替换系统原生的/system/bin/debuggerd,开机启动,长期驻留后台,窃取用户信息,恶意推广软件。我们将其命名为FakeDebuggerd.C。 (一)FakeDebuggerd.C行为流程图 (二)FakeDebuggerd.C具体行为分析 1.初始化 启动后,在/sdcard和/data目录分别建立目录:/sdcard/sysv/和/data/.3q/,用来保存和服务器的通信数据和运行信息 2.替换系统文件 首先,FakeDebuggerd.C首次启动会创建空文件/system/bin/.cw来判断/system是否需要重新挂载。 其次,将/system/bin/debuggerd重命名成/system/bin/debuggerd_deamon 然后,找到自己对应的镜像文件,将自己的镜像文件复制到/system/bin/,重命名为debuggerd。等待原始的debuggerd进程被结束掉,系统会自动重启debuggerd进程,此时重启的是FakeDebuggerd.C 3.联网上传窃取隐私 读取/data/.3q/rc文件。该文件用来保存下载ELF相关的信息,文件md5,下载地址等。获取网络信息(网络类型、网络名称),调用iphonesubinfo(service
broadAnywhere:Broadcast组件权限绕过漏洞(Bug: 17356824)

broadAnywhere:Broadcast组件权限绕过漏洞(Bug: 17356824)

原创内容,转载请注明来源: http://blogs.360.cn/360mobile/2014/11/14/broadanywhere-bug-17356824 作者:申迪(retme) Lolipop源码已经放出有些日子了,我发现google在5.0上修复了一个高危漏洞,利用该漏洞可以发送任意广播:不仅可以发送系统保护级别的广播、还可以无视receiver的android:exported=false、android:permisson=XXX 属性的限制。简直就是LaunchAnywhere[1] 漏洞的broadcast版本,所以就称它是broadAnywhere吧。这个漏洞在5.0以下的系统上通杀,影响还是很大的。 一、先看补丁                                 通过补丁[2]可以看到漏洞发生在src/com/android/settings/accounts/AddAccountSettings.java 的 addAccount 函数中。这回这个漏洞出现在Settings添加账户的时候。使用AccountManager添加账户的流程如下图:   关于AccountManagerService的流程机制请参考LaunchAnywhere漏洞的分析[1],本篇就不赘述了。 二、如何利用 本次的漏洞就发生在流程图的Step1之前,
通过WAP扣费的木马分析报告

通过WAP扣费的木马分析报告

作者:伊汇文 样本概述 近日,360互联网安全中心截获了一个伪装成手电筒应用的恶意木马。该木马具有私自发送短信、恶意扣费、恶意删除su文件、云控更新恶意代码等危险行为。该木马是将正常应用手电筒进行重打包,加入危险代码。 目前,360手机卫士可以全面查杀。 详细分析: 1、发送报活短信: 该木马会监听系统广播,启动私发短信的模块,将用户的手机型号、IMEI的信息发送到指定号码。此外,其中为了增加其隐蔽性,木马作者使用了6个手机号码进行随机发送。 2、删除su文件 该木马还会在开机时删除su文件。这会使得一些需要申请root权限的软件无法完成。 3、修改APN 该木马还会私自修改用户手机的APN设置,将其设置为cmwap,为其扣费操作做准备。 4、通过wap扣费 该木马首先是在so文件中连接10.0.0.172的移动网关,然后在Java代码中利用so文件中发送的广播,在Java端注册广播接收器,进一步连接到指定网址进行扣费操作。 5、私自下载so文件 该木马判断so文件的版本,然后更新本地的so文件,以实现其不断更新的目的。 总结 该类木马是对正常软件进行修改,加入恶意代码后从新二次打包形成的,因此具有极高的隐蔽性。对于该类木马,我们建议用户在下载手机软件时最好到360手机助手等安全可靠的应用市场或者官方网站下载,不要轻易点击未知来源的链接下载安装软件。同时,安装360手机卫士等安全软件对手机进行全面保护。 360手机卫士下载地址:http://shouji.360.cn
“最专业”的钓鱼木马

“最专业”的钓鱼木马

仿冒“银联收银台”木马分析报告   作者:伊汇文 样本概述 近日,360互联网安全中心截获了一个专门伪造银联收银台的恶意木马家族。它是一个恶意的钓鱼应用,将用户输入的信息上传到指定的网址,造成用户的隐私泄露。 目前,360手机卫士可以全面查杀。 详细分析: 该木马与之前发现的木马相比,最大的特点就是作者“煞费苦心”的花费了许多功夫,从各个方面伪装的几乎与正版软件及其相似。 图标与正版软件基本相同 木马启动后,为了更加逼真,还特意制作了引导界面,以假乱真。 之后,会进入一系列界面,一步步的诱导用户输入手机号、银行卡号、银行卡密码、预留手机号等信息。 在用户输入信息时,该木马还对银行卡号、手机号、身份证号进行了合法性验证,其逼真程度犹如正版。 当用户将所有信息输入之后,木马会提示用户审核信息。 这时,所有所填写的信息已被木马上传到指定服务器中。 总结 随着近几年来网上购物的盛行,网上的支付平台也在不断的发展中。由于支付平台中可以得到大量的利润。近来该类木马也呈现爆发性增长。对于该类木马,我们建议用户在下载手机软件时最好到360手机助手等安全可靠的应用市场或者官方网站下载,不要轻易点击未知来源的链接下载安装软件。同时,安装360手机卫士等安全软件对手机进行全面保护。 360手机卫士下载地址:http://shouji.360.cn
Dialer木马分析报告

Dialer木马分析报告

作者:张佳杰   最近国外安全厂商发现了一款可导致手机系统软件功能无法正常使用的恶意样本。该木马伪装成一个色情软件,安装后会在桌面会出现生成一个透明图标,用户点击后,会出现一个程序异常的提示,然后退出软件,这时软件的透明图标会自动消失。木马就神不知鬼不觉地潜伏在手机里,在后台监控用户对于系统软件的操作,使得用户尝试进入系统设置,任务管理器,执行系统安装和卸载等动作都会失效,并自动跳转到手机桌面,造成木马无法在正常环境下卸载,同时在用户未知情况下私自拨打电话,删除通话记录,上传用户数据到服务器。 主要恶意行为: 一、使用透明图标,隐蔽性强,点击运行后图标自动隐藏,不易被发现。 二、自我保护能力强大,监控部分系统软件的Activity,当发现这些Activity在顶层时,强行返回到系统桌面,使的木马难以正常卸载,并影响手机的正常功能使用,同时,我们发现这个监控线程在锁屏再开启以后会失效,监控的Activity有: -