Browsed by
月份:2016年4月

百脑虫之HOOK技术分析

百脑虫之HOOK技术分析

0x00 背景 2015年末爆发了感染量过百万的“百脑虫”手机病毒,经过360移动安全团队深入的跟踪和分析,我们又发现了病毒的另一核心模块,此模块包括3个ELF系统文件configpppm、configpppi、configpppl和一个伪装成系统应用的核心apk文件以及一个configpppl.jar文件。我们发现这些模块都使用之前发现的conbb(configopb)执行命令。在新发现的模块中,病毒使用了更高超的技术,可以在用户毫无察觉的情况下修改短信内容恶意扣费,从而非法获益。 0x01传播途径 此病毒母体一般都是寄生在色情应用或者手机预装,这类色情应用都是没有什么实质上的内容,只是图标和名字很诱人而已,诱导下载安装病毒。一旦安装,病毒也就找到了宿主,即使卸载这类应用,病毒母体也不会被卸载。每次手机开机,病毒都会启动,即使手机恢复出厂设置病毒也不会被清除。 0x02病毒行为概述 一、恶意扣费(针对移动应用商城,APP应用厂商背黑锅) 病毒注入所有APP应用,在APP应用进行短信订购支付时,病毒判断是否是包含移动应用商城模块,然后替换支付内容,导致用户支付后也没有得到应有的功能,APP应用厂商也没有充值记录,导致用户认为APP应用厂商的程序有问题。这样,病毒偷了钱还嫁祸给应用厂商而且用户也无法察觉已中毒。 二、云端服务器加载恶意代码 核心功能classes.dex文件存放在云端服务器,这样做对幕后黑手的好处有以下几点: 1、随时更新功能:可能今天执行扣费指令,明天执行盗取银行密码、支付宝密码指令,后天安装各种APK应用等等,潜在危险巨大。 2、难以取证:幕后黑手发现被盯上,随时可以关闭服务器或改为正规功能,不会留下恶意扣费的相关证据。 三、修改系统核心文件 手机系统易死机,应用启动迟缓。 四、技术手段高超 注入zygote修改framework需要对安卓手机底层了解非常透彻才能有如此大作,推测是分工明确的团队产品。   0x03病毒详细分析 病毒框架大体流程如下: 图[1]:框架流程 图[2]:注入zygote 图[3]:病毒jar模块功能 1.诱惑应用释放病毒母体文件或手机预装就存在病毒,病毒下载运行云端核心DEX文件,执行核心功能函数crackZygoteProcess()。 2.木马加载libconfigpppm.so动态库,调用导出函数configPPP()测试修改framework内容是否可行; 图[4]:调用configPPP() 3.root权限运行configpppi.so,参数为Zygote进程的PID,修改Zygote进程; 图[5]:运行configpppi 4.创建一条线程检测"com.android.phone"进程并结束,此进程为系统核心进程,被结束后会自动启动,重新启动后的“com.android.phone”就被注入了病毒模块; 图[6]:重启"com.android.phone"注入病毒jar模块 5.杀死360、金山等杀毒软件,永久删除。 图[7]:结束各种杀毒软件并删除. 6.病毒JAR注入所有APK,等待时机恶意扣费。 以上操作完成之后,以后启动的每个APK应用都会加载病毒模块,从QQ、支付宝、微信、银行app到各种手机游戏,病毒可以随意操控程序流程。 举个栗子-中毒后最终效果: 我的移动手机已经中毒并且在“移动应用商城”官网下载了“捕鱼达人”,畅玩游戏时想花点钱升级VIP或者买个道具(此时病毒注入游戏),进行消费支付提示后,游戏币却没有充值成功,然而却被扣费,此时我一口咬定游戏厂商应用出了问题,明明扣费却不给道具。而实际上,病毒在支付的时候就把支付内容修改,最终导致用户和APP应用厂商相互误解。   图[8]:病毒导致应用厂商背黑锅   详细分析核心模块: 我们详细分析一下libconfigpppm、configpppi、configpppl是怎么注入安卓进程并HOOK
Android勒索软件研究报告

Android勒索软件研究报告

作者:360移动安全团队 摘    要 手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软件。其表现为手机触摸区域不响应触摸事件,频繁地强制置顶页面无法切换程序和设置手机PIN码。 手机勒索软件的危害除了勒索用户钱财,还会破坏用户数据和手机系统。 手机勒索软件最早从仿冒杀毒软件发展演变而来,2014年5月Android平台首个真正意义上的勒索样本被发现。 截至2016年第一季度,勒索类恶意软件历史累计感染手机接近90万部,从新增感染手机数据看,2015年第三季度新增感染手机接近35万部。 截至2016年第一季度,共捕获手机勒索类恶意样本6万余个。其中国外增长迅速,在2015年第三季度爆发式增长,季度捕获量接近2.5万个;国内则稳步上升。 国外最常伪装成色情视频、Adobe