“舞毒蛾”木马演变报告

“舞毒蛾”木马演变报告

作者:360移动安全团队

一、概述

近期,360移动安全团队监测到一款云控木马正在集中爆发。该木马家族最早于2015年2月被360移动安全团队捕获,目前已经累计样本超过1.2万个。由于该木马有多个版本演变并会下载多个恶意文件执行恶意行为,我们将该木马命名为“舞毒蛾”。

“舞毒蛾”木马是一个典型的云控木马,会联网下载恶意代码包并在本地释放提权代码,静默申请手机Root权限,不仅会向系统写入恶意文件,还会注入到系统进程,从而实现隐私窃取,私自下载、静默安装其他应用,频繁弹广告以及私自订阅扣费业务等多种恶意行为,给用户造成隐私泄露和经济损失。

我们研究发现“舞毒蛾”木马演变过程中不断增强自己提权模块的能力,在后期演变中增加了针对三星 Galaxy S6及采用MTK芯片手机的支持。

截至2016年2月底的监测统计数据显示,“舞毒蛾”木马累计感染量高达340余万。其中,三星和OPPP手机用户的感染量最大。

通过搜索引擎能够发现大量中招网友的反馈:

1-搜索结果

二、感染量

1、国内地区感染分布

360移动安全团队监测到从2015年2月到2016年2月底,“舞毒蛾”木马累计感染量高达340余万,国内感染量接近330万,从感染地区分布图中可以看出广东、河南是木马感染的重灾区。

2-国内感染地区分布图

2、全球地区感染分布

相对全球地区手机用户,“舞毒蛾”木马主要感染亚洲地区的国家,感染最严重的前三个国家是中国、印度和印度尼西亚。

3-全球感染地区分布图

3、感染手机品牌

从感染的手机厂商数据显示,三星和OPPO是感染最严重的手机品牌。由于“舞毒蛾”木马后期增加了针对三星 Galaxy S6及采用MTK芯片手机的支持,也是三星和国内主流采用MTK芯片的手机感染量大的原因之一。

4-感染手机厂商

三、传播来源

1、月增样本变化

截至到2016年2月底,360移动安全团队共捕获到“舞毒蛾”木马样本1.2万余个,从月捕获样本数量可以看出,“舞毒蛾”在2015年底开始呈现爆发式增长,仅2016年2月期间就捕获到近8000个。

5-月增样本统计

2、传播来源统计

360移动安全团队研究发现,“舞毒蛾”木马主要借助名称具有诱惑性、图标暴露的色情播放器类恶意软件进行传播,色情播放器名称例如,OXPlayer、无码快播、18禁影院、无码快播、黄色快播、爱爱快播等等,由于色情播放器类恶意软件的数量已达千万级别,因此该木马的传播能力极强。

6-色情视频图标

统计结果显示,“舞毒蛾”木马主要伪装成热门应用,例如,美图秀秀、小米便签、芒果卫视、天天消消乐、消灭星星等。

7-传播来源图

 

四、深入分析

1、木马流程图

“舞毒蛾”木马运行后,会联网上传配置信息,请求包含多个恶意文件的核心模块下载地址。在早期的版本中,其还会本地释放核心模块。

8-流程图

2、核心模块功能

360移动安全团队分析发现,“舞毒蛾”木马的核心模块共包含了八大功能。其中包括获取Root,篡改系统文件、恶意扣费、隐私窃取、恶意广告、静默下载安装其他应用六大恶意行为。同时,该木马还通过检测运行环境,监控文件变化进行自我保护;联网更新来实现功能升级。

9-核心模块功能图

1)获取Root

“舞毒蛾”木马会加载Root提权模块libgetroot.so,尝试利用多个系统漏洞,以获取Root权限。

10-获取root

2)篡改系统文件

创建以下文件及目录:

  • /system/bin/xsxux
  • /system/xbin/xsxux
  • /system/bin/droidamd
  • /system/etc/droidamd
  • /system/bin/droiddbg
  • /system/etc/debuggerd
  • /data/andobs/ob
  • /data/andobs/ob.jar
  • /data/andcort/cort
  • /data/andcort/cort.jar
  • /data/droidamd/droidget
  • /data/droidamd/lock
  • /data/droidamd/wlog
  • /data/droidamd/tmp

修改系统文件:

  • /system/etc/install-recovery.sh

3)恶意扣费

释放libmms.jar、libmms.so及inject,并注入phone进程实现发送和屏蔽短信的功能。

11-注入phone进程

屏蔽短信列表

12-屏蔽列表

4)恶意广告

“舞毒蛾”木马释放的恶意文件潜伏在系统应用中,频繁弹出全屏广告,严重干扰手机正常使用。

13-恶意广告

5)自我保护

“舞毒蛾”木马还会检查运行环境,试图对抗沙箱检测。

14-检测运行环境

另外,还会创建自我保护线程,通过inotify_add_watch()监控”/system/bin”、”/system/etc”、” /system/app”目录下文件变化,防止被删除。

15-inotify_add_watch

6)下载安装

“舞毒蛾”木马访问www[.]abcdododo[.]com/a/andob/getdata.php 获取服务器指令,服务器指令经过异或算法解密后可以得到恶意软件的下载地址:hxxp://120[.]26[.]129[.]140/android/rootapk/andob/app.zip

16-下载恶意软件

 

静默安装应用

17-静默安装

7)窃取隐私

“舞毒蛾”木马会窃取隐私,上传用户手机号码、IMEI、IMSI以及其他固件信息。

18-1隐私窃取_mask

8)联网更新

联网下载加密的核心模块,本地进行解密,从而实现自我更新。

19-1联网更新_mark

3、核心模块演变

360移动安全团队从“舞毒蛾”木马核心模块下载地址的变化,发现该木马核心模块五个典型的版本变化。

1)不同版本时间轴

通过对首个捕获的“舞毒蛾”木马样本持续关注,结合其下载地址的变化,我们在2015年底发现了后续的三个版本。值得一提的是,在今年年初发现的版本5,其下载地址变化更加有规律性,增加了日期信息。版本5虽然核心模块功能基本一致,但是更新更加频繁,几乎每天都在进行文件更新。

20-时间轴

 

2)不同版本差异

木马作者从开发版本1到版本5的过程中,进行了多方面的改进。在木马对抗方面,对核心模块的隐藏方法进行不断升级;在木马恶意功能方面,随着释放文件个数的增加,执行的恶意行为更加全面;在木马结构方面,结构更加复杂,各模块间实现功能替补,相互保护。

21-版本对比表

3)提权漏洞

“舞毒蛾”木马演变过程中不断增强自己提权模块的能力,最初的版本仅使用了:

  • VROOT –CVE-2013-6282[1]
  • TowelRoot –CVE-2014-3153[2]

后续版本增加了针对三星Galaxy S6及采用MTK芯片手机的漏洞利用模块:

  • PingPongRoot –CVE-2015-3636[3]
  • Mtkfb –mt658x & mt6592[4]

 

五、溯源

1、C&C服务器关系

360移动安全团队在分析“舞毒蛾”木马C&C服务器过程中,发现与木马私自下载、更新、推广功能相关的多个服务器,都是由xiansheng xu注册,注册邮箱:weet2453@gmail.com;与核心模块下载相关的服务器,都是由Qiong Yang注册,注册邮箱:2770752877@qq.com。推广服务器域名关系如下图:

22-C&C关系图

 

六、总结

360移动安全团队研究发现,联网下载带有提权功能的恶意包是木马出现的新趋势。这类木马结构复杂,一旦某个模块被删除,其他模块还会实现功能替补,达到各功能模块互相保护,难以彻底清除。360手机卫士的手机急救箱提供了完美的解决方案,可以有效针对此类木马查杀及系统文件修复,用户可以通过360手机卫士的手机急救箱彻底查杀。我们将继续关注此类安全威胁。

 

360手机卫士的手机急救箱查杀截图

23-急救箱查杀截图

 

360手机卫士下载地址:http://shouji.360.cn/

手机急救箱下载地址: http://jijiu.360.cn/

 

扫码安装360手机卫士、360手机急救箱

image25    image26

 

 

七、附录

1、C&C服务器及IP

ad.ourgalaxymineral.com

www.abcdododo.com

www.groupwildwolf.com

www.linhorse.com

www.maindomctrl.com

www.muregist.com

www.quicksscc.com

www.winterleopard.com

117.135.136.10:4700

120.26.129.140

120.55.72.229:4700

121.40.224.63:8080

八、参考

1、https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6282

2、https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3153

3、https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3636

4、https://github.com/ele7enxxh/MtkfbExploit

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注