作者:Binroo 近年来,云安全是安全行业的重要话题,作为其中非常重要的一部分云查杀更是对病毒查杀的一种全新定义,对检测未知样本,响应周期,防止样本扩散方面也达到了全天秒级的速度。 在近日,360互联网安全中心就监控到了一批针对安全软件恶意样本,该恶意样本通过主包子包分别影响安全软件,并且相互保护,使得安全软件彻底失效,以达到强行驻留用户手机的目的。360互联网安全中心提醒网民,请通过360手机助手等正规应用市场下载应用。目前360已全面查杀该木马。
恶意样本运行流程:
一、主包“蓝牙服务”分析 1)、主包启动后首先申请root权限,并通过pm disable禁用安全软件。
影响的安全软件有: cn.opda.a.phonoalbumshoushou --- 百度手机卫士 com.anguanjia.safe ---安全管家 com.tencent.qqpimsecure --- 腾讯手机管家 com.lenovo.safecenter --- 联想乐安全 com.qihoo360.mobilesafe --- 360卫士 2)、将系统目录挂载成可读写,从assets目录下释放PhoneSystemProvider.obb文件,拷贝到system/app目录下并重命名为PhoneSystemProvider.apk
3)、监控PACKAGE_REMOVED广播,检测卸载的应用如果是“FindPhone”就重新释放安装assets目录下的PhoneSystemProvider.obb,否则就弹出伪造的清理垃圾界面。
4)、伪造清理垃圾界面,同时推广软件。 点击清理应用并无实际功能:
二、子包“FindPhone**”分析** 子包的主要功能是利用Droidwall的技术与安全软件对抗,并且与主包进行相互监控保护。子包运行后检测是否安装了指定的安全软件,如果是就将该安全软件加到Droidwall网络防火墙的黑名单中去。导致安全软件联网数据包被丢弃,对抗安全软件的云查杀、更新及各种联网操作。 Droidwall的实现原理就是linux的iptables规则,更多Droidwall: 项目地址:https://code.google.com/p/droidwall/ 源代码下载地址:http://droidwall.googlecode.com/svn/ 1)、当FindPhone启动后,监控PACKAGE_ADDED广播,如果新安装的不是主包“蓝牙服务”,并且手机中也未安装,则从远程服务器下载安装主包“蓝牙服务”。
2)、获取手机中已安装的安全软件:
获取的安全软件与主包“蓝牙服务”相同: cn.opda.a.phonoalbumshoushou --- 百度手机卫士 com.anguanjia.safe --- 安全管家 com.tencent.qqpimsecure --- 腾讯手机管家 com.lenovo.safecenter --- 联想乐安全 com.qihoo360.mobilesafe --- 360卫士 3)、设置黑名单模式
4)、以黑名单模式构建DroidWall.sh,运行成功后即可禁用黑名单中安全软件的一切联网操作
5)、脚本示例如下:
6)、在真实环境中运行时的结果示例: 解释上图中的10045:每个应用安装后Android系统都会为该应用分配一个uid,10045是测试用机上分配给某安全软件的uid,可以看到将10045的3G和wifi的数据包全部拒绝(droidwall-reject)
在连接wifi的情况下,安全软件已无法自动更新。
7)、禁止指定应用弹出通知栏提示(此功能只在安卓4.2及后续版本中生效)
被禁止的应用有: com.mgyun.shua.su --- ROOT大师 com.dianxinos.superuesr(猜测作者写错了,应该为com.dianxinos.superuser) --- 百度授权管理 com.system.buletooth --- 主包“蓝牙服务” 三、解决方案: 目前对于已中招的用户可以通过如下两种方式清除此木马: 360系统急救箱-安卓手机木马专杀,下载地址:http://www.360.cn/jijiuxiang/ 360卫士极客版,下载地址:http://geek.360.cn/
Comments