05月30, 2014

APK世界里的“金蝉脱壳”

作者:刘星 最近,360手机安全中心截获了一批采用极其猥琐手法的恶意程序。此类恶意程序将正版APK打包到自身资源中,使用和正版相同的图标,在运行时释放并安装正版APK,同时将自身图标隐藏,利用这种手法,金蝉脱壳,迷惑用户,藏身于用户手机。 对此,360安全专家建议您:1、360手机卫士安全防护功能,查杀此类木马;2、从正规市场下载APK。

image1

1、样本金蝉脱壳过程: A、把正版的APK和自身的配置文件打包到自己的ASSETS目录下,以便在后续操作中使用。

image2

图一:恶意样本assets目录结构

B、首先会调用PackageManager中的setComponentEnabledSetting方法把自己的com.sysimg.image2.MainActivity禁用掉,这样自身图标会在系统的launcher(启动器)中消失。

image3

图二:调用系统函数隐藏自身

C、显示出一个短暂的"正在初始化,请稍等..."的进度条对话框来迷惑用户,在对话框显示的这段时间里,建好所需目录,从assets中释放好所需文件(上图中的af.apk),为下一步做准备。

image4

图三:显示对话框迷惑用户

D、启动系统安装程序,安装释放出来的正版程序。

image5

图四:释放并安装原版APK。

至此,所有的前期操作完成,让我们来看看样本执行前后的launcher截图,通过对比发现,两张截图中的图标一样(红框标注),看不出差别,但是他们却是指向不同的APK,左图启动的是恶意样本(启动后隐藏),而右图启动的却是正常程序(被安装APK图标),此时,恶意程序已经金蝉脱壳,藏于后台。

image6 image7

图五:左图为样本的图标,右图为样本安装的原版APK图标。

2、恶意行为: 样本接收用户解锁、APK安装和删除的广播来激发行为: A、 监控安装行为:如有APK安装,待安装完成后自动启动安装的APK,这样做可以使它推广的APK在用户机器上得到执行。并将安装的APK文件的MD5发送到服务器,并触发推广行为(见B、C部分)。

image8

image9

图六:监控安装APK行为

B、 监控用户解锁:将用户手机的相关信息如IMEI、屏幕尺寸等上传服务器,返回推广信息。

image10

图七:提交用户数据获取推广信息

C、 返回数据:返回信息是一串推广的json串,json里面包含了很多快捷方式的相关信息,这些快捷方式会被放到桌面。

image11

图八:返回数据中的一部分

3、行为展示: 下图是样本运行后的截图,很多诱惑性的快捷方式会被释放到桌面,利用社会工程的方法,引诱宅男点击上当。一旦点击,便会触发下载,不但消耗用户流量,而且下载的APK可靠性无法保证,如果包含其它木马,后果不堪设想。

image12 image13

总结:这类样本有这几个特点: 1、迷惑性很强,让用户真假难辨,就算卸载,也是只卸载了正常程序,恶意程序还会潜藏于手机中。 2、这类样本实现简单,换个图标、换个正版APK就可批量生产,相比二次打包更简单、隐蔽。

本文链接:http://blogs.360.cn/post/false_scent_apk_file.html

-- EOF --

Comments