“百脑虫”手机病毒分析报告

“百脑虫”手机病毒分析报告

一、背景

2015 年末,360移动安全团队不断收到用户反馈,手机中莫名其妙地被下载安装其他应用、手机自动订阅扣费服务等问题,手机还原出厂设置后,问题依旧无法解决。类似的用户反馈近期越来越多,经360移动安全团队的跟踪发现,引起此类症状的元凶为一linux系统层病毒。该病毒的核心模块包括一个ELF系统文件conbb(configopb)及一个伪装系统应用的APK文件core,通过这些文件,我们发现病毒提供了一整套完善的实现和接口,能够被不同的APK应用方便的打包调用,进而造成该病毒被广泛传播,影响恶劣。据后台数据分析,打包该病毒模块的应用达数百种之多,因此,我们该病毒命名为“百脑虫”病毒。

通过搜索引擎能够轻松的发现中招网友的反馈:

图1 “百脑虫”感染网友反馈

图1 “百脑虫”感染网友反馈

二、传播

“百脑虫”病毒是以插件的形式嵌入各种应用程序里面传播的,其中又以本身就有很多问题的色情类应用和一些受欢迎的高广应用居多,这些被重打包的问题程序通过第三方电子市场或某些色情类网站进行疯狂传播。

1、色情视频类应用

嵌入百脑虫病毒的色情类APP的名称具有极高的诱惑性,如成人影院、媚娘影音、干姐姐视频、禁播视频等。一旦“宅男”用户对这些极其诱惑性的APP名称经不起其诱惑,点击安装此类应用即可中招。

图2 嵌入百脑虫病毒的色情类应用

图2 嵌入百脑虫病毒的色情类应用

2、高人气正常应用

具有较高人气的正常应用也是百脑虫病毒传播的重灾区。如千炮捕鱼新年版、极品时刻表、全名挖钻石等都被别有用心的病毒作者篡改,嵌入了百脑虫病毒。如用户安全意识薄弱,未通过官方或正规第三方电子市场下载安装此类应用,很容易被百脑虫病毒感染。

图3 嵌入百脑虫病毒的正常应用

图3 嵌入百脑虫病毒的正常应用

三、病毒介绍

百脑虫病毒模块关系如图:

图4 百脑虫模块关系

图4 百脑虫模块关系

打包百脑虫的应用启动后,会提权释放一个无图标的APK到系统应用路径里,此APK在后台默默运行,用户难以发觉。此APK就是百脑虫病毒的核心模块,它主要功能有检查安全软件、劫取用户隐私、静默推广安装其他应用及病毒文件等。

百脑虫执行流程图如下:

图5 百脑虫执行过程

图5 百脑虫执行过程

1、打包百脑虫的应用启动后,首先从assets文件夹中的加密数据文件中解密所有重要模块。其中包含第三方root提权工具、su文件、core核心模块、conbb病毒安装脚本、install-recovery.sh等。

2、判断用户手机是否处于root状态。如果不是root状态,将用户机型、系统版本等信息上报给云端,并从云端下载与机型、系统版本相应的已知漏洞的root提权文件,使用第三方工具执行root提权。

3、提权成功后将core模块复制到/system/app下成为系统应用,使用户无法通过正常方法卸载此应用。

4、core模块一直运行在后台,判断自己是否处于安全厂商沙箱环境中,如果是,则直接退出不做进一步行为。

5、core模块判断是否有安全软件服务在运行,如果是,尝试强制终止其服务进程。

6、core模块删除所有其他root工具及root授权管理应用,使其他应用无法获取root权限。

7、周期性地从后台静默下载安装众多其他应用及病毒文件。

四、详细分析

1、百脑虫重打包代码

百脑虫病毒是被其他应用重打包后传播的,一个被重打包的应用,入口函数中会加入一行病毒的启动代码。此应用运行时,百脑虫病毒代码将获得执行权限。

图6 百脑虫病毒的启动代码

图6 百脑虫病毒的启动代码

病毒代码执行以后,从assets文件夹的krLib(文件名可变)加密数据文件的起始64个字节获取密钥KEY及配置相关信息。

图7 获取密钥及运行相关配置信息

图7 获取密钥及运行相关配置信息

从实际病毒样本中获取的密钥为“10249832931963293212373431424213”,运行

相关配置信息为“00000000000000010000000000000336”。密钥会用在解密百脑虫病毒其他模块及字符串。 母包APP层的解密算法有两种:dn_1、dn_2。dn_1是用来解密其他百脑虫相关模块,dn_2是用来解密关键字符串。

图8 加密的关键字符串

图8 加密的关键字符串

图9 解密函数

图9 解密函数

用已取得的密钥配合解密算法,可以还原关键字符串:

图10 解密后代码片段

图10 解密后代码片段

图11 解密后百脑虫文件

图11 解密后百脑虫文件

此后,百脑虫会检测运行环境是否真实,如果检测到沙箱环境,病毒会自动退出。

通过环境检测以后,病毒判断系统是否存在文件“/sytem/bin/conbb”、“/system/xbin/conbb”、“/system/bin/su”、“/system/xbin”中的任何一个或服务进程“com.android.browser.internal.server”。如果是,则说明手机已经处于root状态,检验结果上报给远程服务器并执行后面的流程,如果病毒判断手机未root,则加载librgsdk.so模块执行root提权。librgsdk.so原本是正规厂商的root提权模块,但由于对调用者的验证不严谨,导致把接口暴露给了病毒作者。

图12 百脑虫提权流程

图12 百脑虫提权流程

成功root后,百脑虫便开始安装core核心模块到系统目录。首先复制core文件到系统路径下(“/system/app/ BrowserInfoServer.APK”),赋予系统应用权限644,使用户无法通过正常方式卸载此应用。并通过执行命令“am startservice -n com.android.browser.internal.server/com.android.phone.BrowserService”启动core服务。

图13 安装及执行core应用

图13 安装及执行core应用

2、百脑虫core模块

core模块是百脑虫病毒的核心模块,通过驻留在系统空间,实现其下载推广的恶意行为,它通过注册receiver实现随系统开机或网络状态改变时启动。

图14 core模块注册的receiver

图14 core模块注册的receiver

core模块启动后会清理安装路径下的所有缓存的dex文件,并加载执行安装路径下所有JAR包的主入口“com.android.xb.init”。

图15 加载执行JAR包

图15 加载执行JAR包

为了更好地隐藏自己,core模块几乎所有的字符串都做了加密处理,并在执行过程中调用getSystemDecodeVaule动态解密的方式执行。

图16 动态解密关键字符串

图16 动态解密关键字符串

图17 解密函数

图17 解密函数

因解密函数为静态函数,可以通过java反射机制加载core应用并调用getSystemDecodeVaule可以解密关键字符串。

图18 模拟调用解密函数的代码片段

图18 模拟调用解密函数的代码片段

图19 部分解密后的关键字符串

图19 部分解密后的关键字符串

core初始化完毕以后,将执行其核心功能。首先会将用户手机信息及病毒运行结果上报给远程服务器ph1.opnixi.com。上传的信息包含病毒当前版本、手机imsi、当前病毒运行时间间隔、是否为内置rom、病毒运行环境是否安全、已安装的应用列表、已经下载的JAR包等等。

图20 百脑虫上传信息

图20 百脑虫上传信息

云端根据手机上传信息选择返回内容。如果上传信息一切顺利,服务端将会返回JAR包下载列表。测试时返回的下载地址为“http://[removed]/download/modules/OPBUpdate_ 6000.JAR”。

图21 百脑虫下载JAR包

图21 百脑虫下载JAR包

JAR包中包含APK及安装配置信息。通过配置信息病毒决定是否将APK安装为系统应用还是正常应用,如果一旦安装成系统应用将意味着很难清理。

图22 安装配置信息

图22 安装配置信息

图23 从下载的jar包安装apk

图23 从下载的JPR包安装APK

    此外,百脑虫还会将自己推广的APK及安装配置信息备份至目录“/mnt/sdcard/Android/com/usbdevice/dbinfo”下,以便被用户卸载后立即还原,因此,一般用户基本不可能手动将其清理掉。

图24 百脑虫备份自身文件

图24 百脑虫备份自身文件

分析发现,“百脑虫”病毒除了在手机启动或者网络连接状态发生变化时,执行其恶意功能,它还设置了一个时间周期,即每隔一个小时,便连接病毒服务器下载应用执行,并对下载的文件进行备份,一旦发现被删除卸载则重新安装。

五、问题应用

据后台数据分析,打包百脑虫的应用达数百种之多,这里我们分析一些传播量较广的问题应用做简单介绍,详细情况见附录一。

1、“禁播视频”:除了具有百脑虫的病毒功能之外其自身行为也极其恶劣。不仅恶意推广其他应用,还会未经用户允许后台偷偷订阅扣费业务给用户造成经济上的损失。因“禁播视频”运行时会屏蔽“成功订阅服务”、“验证码”之类的扣费相关敏感短信,用户难以第一时间察觉。

图25 禁播视频后台访问订阅服务的网站

图25 禁播视频后台访问订阅服务的网站

图26 扣费验证码

图26 扣费验证码

2、“雷霆战机2015新年版”:此款游戏原本是正常且最近人气较高的射击类手游。一旦用户从非官方渠道下载安装嵌入“百脑虫”病毒的重打包应用, “百脑虫”病毒也跟随此应用被偷偷安装。因“百脑虫”病毒无图标,且伪装成系统应用户很难察觉它的存在。

六、查杀与修复

随着360手机急救箱用户数的增长,被查杀到的木马越来越多,360手机急救箱独有的深度完整扫描,可以深度扫描和完美清除底层ELF病毒和APK病毒。目前市场上的主流手机安全产品几乎没有支持ELF完整深度扫描的功能。

目前,360手机急救箱已经支持对该木马的查杀与修复:

图27 360手机急救箱查杀修复界面

图27 360手机急救箱查杀修复界面

“百脑虫”病毒可以大范围传播的主要原因之一是由于用户的安全意思薄弱。为了防止被“百脑虫”病毒感染,提以下建议:

  • 不要轻易下载安装所谓“色情类”相关视频应用。
  • 下载应用时尽量通过官方或正规第三方电子市场下载安装。
  • 如遇到被静默安装其他应用或恶意扣费等安全相关异常症状,立即反馈给正规安全

厂商。

  • 安装正规手机安全软件实时保护系统安全。

手机急救箱下载地址: http://jijiu.360.cn/

图28 扫码安装360手机急救箱

 

附录一:部分包含百脑虫病毒的应用

应用名称

MD5

情景切换

cedca3abced18acef0ff0953cb162f4f

暴力战车

e0f7a130214877a4e8f73ae1b4acf2fd

一键锁屏

9d272f102949dd19b57e0a1c77918107

美女浴室

409b1c1356fd5a5b468f901a3b4b62e2

日历

2cb438b6c73a7e98ae81a36f37af7549

悦动浏览器

a78e2c08f54ecdae88fa3238d4677aaa

疾风剑圣

c33ff5de90a139ef67e8c7a2aebf9928

信号提醒

bb9d20dd63f1375475ddf8eca344b5ba

浏览器

95708f24ddfb70194b5abff2705f78e1

看看免费小说

3737891b83603f844b5de7c068d785bf

健康咨询

fcb22aed96d977c6168b864c331845db

日历

ce47594720a7c4997f2da62f66c0d077

文件管理器

cfc6326ea59147a3098b12250ee1c372

健康咨询

b6440e161927ccc3ff0848d72426e941

精准电量

31812f98ff7fe69b129e6d6764f3bc66

美女浴室

02524acb83cee4e5506348b6fd9521b1

抢票闹钟

96ba321e68adde0622ef95d4132d8dba

性爱播吧

ad4e837f410947dd50cc1e8929b215ed

知了

df5103929e41df3a9b84dd7a0fe4e3c9

粉色快播

d114d1150160466835ff2e902f63e6d6

消灭小海星

ca8b63f2bcc34fca8e87633fe55c7160

雷霆战机2015新年版

8dbbbbaa60c81db4395422ee1982135f

二人麻将

487edc48ddb19d8908fab870bed9dd6c

干姐姐视频

f633ed5dbe53f0c1090d38b5afa68e50

媚娘影音

11004a50fe620e93697a77b143bd8e9a

禁播视频

9e5e4b744bf2b9b9374a3203c2595ac3

全民挖钻石

85976b9dffa85e0e6a917da2e64671eb

大智慧

27a753751fb9505906cfd5b8dc515773

2 thoughts on ““百脑虫”手机病毒分析报告

  1. 对于已经中毒的用户,360系统急救箱并不能完全清除病毒,system/bin/configopb和system/bin/configopb和system/app下的病毒apk会被守护进程保护,360系统急救箱无法删除,清除办法就是手动进入第三方recovery用adb shell删除,我手机现在病毒已经被清除了,感谢360详细的分析文章,我自查了下病毒来源,极可能是从酷划软件里的推广软件进入系统的,或者就是从酷划的推广软件中自行下载的推广软件进入系统的(即二次推广,推广软件中的推广软件),希望大家以后使用这类软件时要三思而后行,不要为了一点蝇头小利把手机的控制权交给了病毒作者

发表评论

电子邮件地址不会被公开。 必填项已用*标注