03月06, 2015

DwallAv木马分析报告

作者:Binroo 近年来,云安全是安全行业的重要话题,作为其中非常重要的一部分云查杀更是对病毒查杀的一种全新定义,对检测未知样本,响应周期,防止样本扩散方面也达到了全天秒级的速度。 在近日,360互联网安全中心就监控到了一批针对安全软件恶意样本,该恶意样本通过主包子包分别影响安全软件,并且相互保护,使得安全软件彻底失效,以达到强行驻留用户手机的目的。360互联网安全中心提醒网民,请通过360手机助手等正规应用市场下载应用。目前360已全面查杀该木马。

image1

恶意样本运行流程:

image2

一、主包“蓝牙服务”分析 1)、主包启动后首先申请root权限,并通过pm disable禁用安全软件。

image3

image4

影响的安全软件有: cn.opda.a.phonoalbumshoushou --- 百度手机卫士 com.anguanjia.safe ---安全管家 com.tencent.qqpimsecure --- 腾讯手机管家 com.lenovo.safecenter --- 联想乐安全 com.qihoo360.mobilesafe --- 360卫士 2)、将系统目录挂载成可读写,从assets目录下释放PhoneSystemProvider.obb文件,拷贝到system/app目录下并重命名为PhoneSystemProvider.apk

image5

3)、监控PACKAGE_REMOVED广播,检测卸载的应用如果是“FindPhone”就重新释放安装assets目录下的PhoneSystemProvider.obb,否则就弹出伪造的清理垃圾界面。

image6

4)、伪造清理垃圾界面,同时推广软件。 image7 点击清理应用并无实际功能: image8 二、子包“FindPhone**”分析** 子包的主要功能是利用Droidwall的技术与安全软件对抗,并且与主包进行相互监控保护。子包运行后检测是否安装了指定的安全软件,如果是就将该安全软件加到Droidwall网络防火墙的黑名单中去。导致安全软件联网数据包被丢弃,对抗安全软件的云查杀、更新及各种联网操作。 Droidwall的实现原理就是linux的iptables规则,更多Droidwall: 项目地址:https://code.google.com/p/droidwall/ 源代码下载地址:http://droidwall.googlecode.com/svn/ 1)、当FindPhone启动后,监控PACKAGE_ADDED广播,如果新安装的不是主包“蓝牙服务”,并且手机中也未安装,则从远程服务器下载安装主包“蓝牙服务”。 image9 2)、获取手机中已安装的安全软件:

image10

获取的安全软件与主包“蓝牙服务”相同: cn.opda.a.phonoalbumshoushou --- 百度手机卫士 com.anguanjia.safe --- 安全管家 com.tencent.qqpimsecure --- 腾讯手机管家 com.lenovo.safecenter --- 联想乐安全 com.qihoo360.mobilesafe --- 360卫士 3)、设置黑名单模式

image11

4)、以黑名单模式构建DroidWall.sh,运行成功后即可禁用黑名单中安全软件的一切联网操作

image12

5)、脚本示例如下:

image13

6)、在真实环境中运行时的结果示例: 解释上图中的10045:每个应用安装后Android系统都会为该应用分配一个uid,10045是测试用机上分配给某安全软件的uid,可以看到将100453G和wifi的数据包全部拒绝(droidwall-reject)

image14

image15

image16

在连接wifi的情况下,安全软件已无法自动更新。

image17

7)、禁止指定应用弹出通知栏提示(此功能只在安卓4.2及后续版本中生效)

image18

被禁止的应用有: com.mgyun.shua.su --- ROOT大师 com.dianxinos.superuesr(猜测作者写错了,应该为com.dianxinos.superuser) --- 百度授权管理 com.system.buletooth --- 主包“蓝牙服务” 三、解决方案: 目前对于已中招的用户可以通过如下两种方式清除此木马: 360系统急救箱-安卓手机木马专杀,下载地址:http://www.360.cn/jijiuxiang/ 360卫士极客版,下载地址:http://geek.360.cn/

本文链接:http://blogs.360.cn/post/analysis_of_dwallav.html

-- EOF --

Comments