近期，基于騰訊手機管家產品服務的騰訊移動安全實驗室/反詐騙實驗室監控到一款廣告病毒的感染量有所提升，該病毒通過重打包將惡意代碼嵌入到一些正規應用中，并通過一些廣告渠道推廣到用戶手機，一旦進去用戶手機后該病毒會嘗試ROOT完全控制用戶手機，并不停的彈出一些影響用戶的體驗的騷擾廣告。值得注意的是，魔綁惡意廣告病毒還會嘗試下載地獄火和伏地蟲等惡名昭彰的ROOT病毒，對用戶手機安全造成嚴重威脅。?

一、魔綁惡意廣告病毒功能模塊示意圖

1、相關文件下載和功能

2、功能執行流程

二、詳細分析

1、相比正常軟件,惡意包里面嵌入了惡意模塊com.gus.wvz

2、惡意代碼的啟動過程

母模塊通過startservice方法調用子模塊中的服務，如下：

將“TICK“傳到intent=”Com.ms.googleapi.tickalarm“內的CMD屬性中。

子包pushplugin.apk接收到信息后，即啟動服務com.ms.googleapi.googleApiService從而啟動整個模塊。

3、惡意行為分析

3.1?彈出不堪入目的廣告

若用戶手機root失敗，則病毒不會被安裝到手機rom里面，但仍會頻繁匿名彈窗，用戶難以察覺是哪一個應用在彈廣告，無法立刻卸載對應軟件。

若用戶手機root成功，則病毒mt_b會被安裝到手機rom里面，母病毒與rom內子病毒同時頻繁推送匿名彈窗廣告，用戶不但難以察覺是哪一個應用在彈廣告，且即使卸載了母病毒，子病毒仍在rom內，一般用戶難以卸載。

? ?

3.2?子包pu********n.apk分析

Pu********n.apk分為兩個模塊，廣告模塊包含jd廣告的sdk，root模塊負責下載root所需工具與root成功后安裝的惡意子包。

?

3.2.1?Root工具下載

hxxp://cd*****ource.m*******.com/upload/attachment/busybox_.zip

Root工具目錄/data/data/com.gzlok.papa.show/file/.mrt：

3.2.2?下載rom內廣告子包

抓包數據：

鏈接：

http://106.7*.**.**0/service/getAPKPushConfi********ion?coo_id=c095ea5df575db6c&imei=352584061779820&sdk=1&c********d=ch0811&type=300&firsttime=1&internet=1&imsi=null&r********=null&dtype=phone&useDDL=1&useAvazu=1&sdkVersion=87&issys=0&md=Nex********brd=LGE&sv=4.4&sr=1080*1776&mac=2c:54:cf:ea********d=1&ppus=1&location=&ctm=0&smc=0

返回數據子包的信息，包括下載鏈接：

{"floatCd":300,"installTipTime":15,"floatStatus":1,"screenOutCd":20,"pushStatus":1,"screenCd":20,"hbcd":40,"slicdtime":-1,"shortcutCd":20,"type":0,"installShortcut":1,"floatTime":8,"time":90,"isDownLoad":0,"floatStartTime":60,"issli":0,"isNotice":0,"dprop":"V0tXS1dLV0tXS1dLV0tXS1dLV0tXS1dLV0tXSw==","pluginUrl":"http:\/\/c********rce.mj-game.com\/upload\/a********nt\/mhoad.apk","tryrrs":1,"sli********e":-1,"isPops":0,"isExit":"1","t********t":1}

訪問返回的下載鏈接，下載子包：

http://cd**********e.**-g***.com/upload/att*******t/m**ad.apk

3.2.3?拉取廣告相關分析

對加密字符494E3B2285166802E92AA52EA….D32330E5A14FCEC02766A74B進行解碼，獲得廣告拉取服務器地址為http://www.*********.com/service，

訪問http://www.********.com/service/get***********Info.action獲取彈窗廣告信息。

l?調用com.ms.zx.b類進行解析

l?保存至緩存文件googlesdk中

l?構建廣告窗口對象

l?創建桌面快捷方式：

l?不同action的功能列表：

3.3??Rom內惡意子包mt_b

代碼樹：

子包資源目錄下包含廣告包，啟動后解碼并下載調用pushplugin.apk。

通過以下代碼，接收廣播定時彈出廣告：

字符串解碼前后對比：

4、其它功能

代碼存在但未調用的部分。

4.1?疑似彈出修復漏洞的信息，誘導用戶安裝其他軟件

4.2?生成隨機名字及郵箱至訪問指定鏈接注冊帳號

?

4.3?伏地蟲病毒下載及注入

http://cdn*********.m*******.com/upload/attachment/n*******.apk

?

4.4?地獄火病毒下載及注入

該樣本看上去還處于測試狀態,從選項看是它具有ROOT功能并支持一些推送。

http://cd********e.m*******.com/upload/attachment/cn******.apk

?

4.5?列出殺毒軟件包名列表，疑似準備root后禁用此類軟件

?

三?病毒的影響以及溯源

魔綁廣告病毒主要通過剛需,廣告平臺獲取流量,然后通過一些重打包游戲以及色情應用進去到用戶平臺,進去用戶平臺以后再通過廣告等方式實現流量變現最終獲取利益。

核心惡意子包近期受影響的用戶感染趨勢：

?

四、手機管家查殺和安全建議

針對該病毒，騰訊手機管家無需升級即可全面查殺,同時騰訊手機管家以及騰訊移動安全實驗室提醒您：?　　

1.謹防不明鏈接，不要隨意點擊任何未知來源或短信中的鏈接。

2.只安裝可信渠道的軟件，不要在非官方網站或者不知名應用市場下載任何應用。

3.強烈建議您開啟安全軟件所有安全功能，并保持定期掃描的良好習慣。

?

總結

以上是生活随笔為你收集整理的魔绑广告病毒感染量提升 ROOT控制手机并下载其他病毒的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。