“长老木马”三代揪出背后“大毒枭”

作者:360Android分析团队

 

 image1

一、冰山一角

近期很多网友的Android手机上“莫名其妙”地出现了“手电筒”、“日历”等应用,并且在没有root的前提下无法卸载。即使获得了root权限卸载了,没过多久又会再次出现。根据360互联网安全中心统计,相关的受感染用户已经超过百万。

image2

二、始作俑者

经过大量的用户配合反馈以及360互联网安全中心细致分析排查后,我们发现始作俑者为“长老木马(FakeDebuggerd)”家族的最新变种,该木马替换系统原生的/system/bin/debuggerd,开机启动,长期驻留后台,窃取用户信息,恶意推广软件。我们将其命名为FakeDebuggerd.C。

(一)FakeDebuggerd.C行为流程图

image3

(二)FakeDebuggerd.C具体行为分析

1.初始化

启动后,在/sdcard和/data目录分别建立目录:/sdcard/sysv/和/data/.3q/,用来保存和服务器的通信数据和运行信息