2017年Q1安卓ROOT类恶意病毒发展趋势研究报告
摘要
1、移動互聯(lián)網(wǎng)黑產(chǎn)持續(xù)性攻擊的核武器,用戶設(shè)備淪陷的最后防線
Android平臺作為目前最流行的流量平臺,由于它的開源使得大量的廠商加入其陣營,作為當(dāng)前最大的流量來源,安卓平臺是黑產(chǎn)分子眼中的香餑餑,各種惡意應(yīng)用和手機病毒紛至而來。
由于安卓系統(tǒng)先天就存在的一些限制,習(xí)慣了PC時代為所欲為的黑產(chǎn)分子為了繞過Android平臺的安全機制以及與手機殺毒軟件的對抗,病毒開發(fā)者需要獲取手機等設(shè)備的最高權(quán)限以”王”的身份來發(fā)號施令。惡意廣告彈框一天幾十個保底,惡意應(yīng)用裝個一打,惡意短信扣費今天就扣100塊,用戶隱私數(shù)據(jù)按噸賣,網(wǎng)絡(luò)劫持手到擒來…,用戶機器此時欲哭無淚。
為了對抗手機安全廠商的,ROOT惡意病毒采取各種各樣的措施,如應(yīng)用加殼、動態(tài)加載、代碼混淆、反調(diào)試,云端控制等招數(shù),增加了病毒發(fā)現(xiàn)的難度,同時由于安卓平臺的碎片化導(dǎo)致ROOT病毒的清理難度也很大,通常安全廠商都會通過發(fā)布專殺工具或者ROOT層攔截模塊來進行最后的防御。
2、剛需是ROOT惡意病毒最大的安全來源
ROOT病毒雖霸道,但是再霸道的東西能要裝了才能“體會”,除了一部分小的應(yīng)用分發(fā)平臺,要想通過主流的應(yīng)用分發(fā)平臺進行傳播的難度系數(shù)還是挺高的(比如繞過安全廠商的引擎) ,要讓用戶心甘情愿安全并且能夠保證充足的用戶群體。色情剛需的流量就理所當(dāng)然成為ROOT病毒最溫柔的家園。
根據(jù)騰訊手機管家及騰訊反詐騙實驗室大數(shù)據(jù)分析表明,Root類病毒在Android病毒中所占的比重越來越高,每日新增的病毒樣本中將近一半的病毒包含Root模塊,樣本主要集中在色情應(yīng)用這種剛需上,日影響用戶在百萬級別。
3、低版本安卓用戶設(shè)備極度危險
Root類病毒Root工具主要包括PingPongRoot、TowelRoot,、MtkfbExploit、FramaRoot 和Root Assistant等;最容易被攻擊的手機機型和Android版本分別為:華為G7-TL00、小米Redmi 3、華為MT7-TL10 OPPO A31、紅米NOTE 1S,Android4.4.2、Android5.1.1和Android4.3.1。
一、Root類病毒特點
安卓Root類病毒,又稱頑固木馬,是指病毒應(yīng)用會利用系統(tǒng)漏洞對設(shè)備進行Root提權(quán),在Root提權(quán)成功后,再通過植入、感染和替換系統(tǒng)文件等方式將惡意的Apk、Elf等文件寫入到系統(tǒng)目錄,進行后續(xù)的惡意行為。這類病毒通常會進行惡意扣費、惡意推廣、盜取數(shù)據(jù)等行為,部分具有極強的破壞性,會篡改用戶設(shè)備信息和破壞系統(tǒng),頑固木馬通常具有極強的防卸載能力,一般的手機安全軟件都無法徹底清除。
1、安卓Root類病毒的主要特點
1.1 功能強大,攻擊方式多種多樣:相比較于普通的Apk病毒,Root類病毒由于獲取了設(shè)備的Root權(quán)限,其功能更加強大,它可以感染、注入系統(tǒng)文件和進程的方式來實現(xiàn)復(fù)雜多樣的攻擊;
1.2 攻擊面日益增大:Root類病毒通過利用系統(tǒng)漏洞來獲取設(shè)備的Root權(quán)限,Android平臺相關(guān)系統(tǒng)漏洞不斷被爆出,而由于Android系統(tǒng)嚴(yán)重的碎片化,這些系統(tǒng)漏洞很難全部被修復(fù);
1.3 病毒駐留時間長,難以完全清除:首先,Root類病毒獲取了設(shè)備Root權(quán)限,它能完全控制手機來進行惡意行為,且部分病毒具有極強的防卸載和與殺軟對抗的能力,只具有普通權(quán)限的手機殺毒軟件不能處理這類病毒,其次,elf文件是Root類病毒重要的組成部分,elf文件相對于Apk文件來說,分析難度更大,一般需要特定的清理方式,增加了清理難度。
?
1.4 破壞力能力強:Root病毒通常會進行惡意扣費、惡意推廣行為,部分病毒還具有極強的破壞性,會篡改用戶設(shè)備信息和破壞系統(tǒng),這嚴(yán)重影響了用戶設(shè)備的正常使用,一旦中了此類病毒,用戶通常會因無法清理病毒而選擇刷機,導(dǎo)致用戶數(shù)據(jù)丟失,造成很大的損失;
1.5 主要寄生的樣本:Root類病毒一般以色情應(yīng)用或仿冒游戲應(yīng)用的形式來引誘用戶安裝運行;
1.6 主要的收益:Root類病毒由于其難以清除的特點,其主要目的在于“推”,通過推廣其他軟件來獲取推廣利益價值,經(jīng)常和惡意扣費類的應(yīng)用捆綁在一起,此外,還有一些實現(xiàn)其他功能的Root類病毒,包括竊取用戶隱私數(shù)據(jù),盜刷網(wǎng)絡(luò)流量等。
二、Root類病毒現(xiàn)狀
1、感染量變化趨勢
從收集樣本數(shù)看,Root類病毒樣本數(shù)處于穩(wěn)定增長趨勢。
?
?從感染用戶量來看,Root類病毒感染的用戶量也是穩(wěn)中有升。
?
從影響的Android系統(tǒng)版本來看,主要還是集中在Android4.4.2、4.3.1和5.1.1。?
?
2、 Root類病毒主要傳播途徑
?
2.1 ?色情應(yīng)用:約占Root類病毒的98%,用戶主動下載或被推廣安裝。
?
2.2 游戲應(yīng)用:仿冒熱門游戲,誘導(dǎo)用戶下載安裝。
?
2.3 無圖標(biāo)或者偽裝系統(tǒng)應(yīng)用:通過惡意推廣或ROM內(nèi)置。 ? ? ??
?
?
3、Root類病毒黑色產(chǎn)業(yè)鏈
?
三、Android Root類病毒技術(shù)分析
1、Root類病毒的攻擊流程
Root類病毒的攻擊流程如下圖所示,當(dāng)感染用戶手機后,Root類病毒會首先嘗試去調(diào)用提權(quán)模塊進行root提權(quán)操作,若提權(quán)失敗,則它就不會執(zhí)行后續(xù)的惡意行為,或者是像普通的Apk病毒一樣,執(zhí)行一些彈出廣告等惡意行為; 然而,當(dāng)提權(quán)成功后,它就會將惡意的Elf文件、病毒Apk文件植入到系統(tǒng)目錄,并通過修改系統(tǒng)啟動項、運行后臺守護進程來保證病毒在開機時自啟和防止病毒被卸載。由于獲取了root權(quán)限,病毒的惡意行為就不局限于彈窗廣告了,它可以進行更加復(fù)雜和多樣的惡意操作,包括靜默安裝應(yīng)用、修改系統(tǒng)文件、竊取用戶數(shù)據(jù)、注入系統(tǒng)應(yīng)用和其他用戶應(yīng)用等,給用戶安全造成嚴(yán)重的威脅。
?
2、Root提權(quán)模塊
Root提權(quán)模塊作為Root類病毒的核心模塊,是Root類病毒執(zhí)行成功與否的關(guān)鍵。目前Root提權(quán)模塊都是以dex、jar或apk子包的形式被病毒母包進行動態(tài)加載調(diào)用。一般病毒母釋放Root提權(quán)模塊有兩種方式,一是從自身Apk的資源目錄中的加密文件中解密釋放;另一種方式就是從遠(yuǎn)程的網(wǎng)絡(luò)服務(wù)器上進行下載。目前采用較多的是從網(wǎng)絡(luò)服務(wù)器上下載Root提權(quán)模塊,這種方式具有很大的靈活性,Root提權(quán)模塊的提供者可以通過更新服務(wù)器上的提權(quán)模塊來提升病毒提權(quán)的成功率;同時也可以通過修改網(wǎng)絡(luò)配置來使原先的服務(wù)器鏈接失效,增加病毒分析取證的難度。
下圖就是一個病毒母包從網(wǎng)絡(luò)服務(wù)器上下載root提權(quán)工具包的代碼。
?
動態(tài)抓取的病毒母包與網(wǎng)絡(luò)服務(wù)器的通信內(nèi)容,可以從中看到服務(wù)器配置的root工具包的版本、下載鏈接等相關(guān)信息。
?
?通過對收集到的Root類病毒進行分析,發(fā)現(xiàn)病毒樣本使用到的root提權(quán)子包主要有以下幾種:
?
各提權(quán)子包在Root類病毒樣本中使用的占比情況如下:
?
3、Root病毒使用的系統(tǒng)漏洞
Root類病毒通過利用Android系統(tǒng)的漏洞來獲取root權(quán)限,一般使用到的系統(tǒng)漏洞主要包括:
?
4、 Root類病毒惡意文件寄生常用的系統(tǒng)目錄?
?
四、常見Android Root類病毒家族
1、Root類病毒6大家族
?
各家族的技術(shù)點對比:
2、 FatalSexy
2.1 病毒簡介
此家族的Root類病毒是目前最常見的類型,影響面也是最廣的,主要通過色情類應(yīng)用進行傳播,誘惑用戶下載安裝。用戶下載、運行了該病毒后,該病毒會立即下載提權(quán)模塊來獲取系統(tǒng)root權(quán)限,并植入惡意elf文件和惡意Apk文件到系統(tǒng)目錄,進行惡意推廣和流氓行為,對用戶造成極大的損害。
2.2 ?病毒執(zhí)行流程
?
2.3 病毒變種變化
?
?2.4 技術(shù)點分析
(1)下載Root提權(quán)模塊
樣本dex文件中包含嵌入的惡意代碼,并在初始化過程中調(diào)用此代碼,下載用于下載root工具包的so文件;
?
?
?下載的so文件為文件load2_5052eb2c
?
(2)Root提權(quán)
調(diào)用so的方法去下載ROOT工具包和執(zhí)行root方案
?
?
下載的ROOT提權(quán)子包和相關(guān)工具
?
(3)釋放惡意Elf文件和Apk文件到系統(tǒng)目錄
此類病毒樣本在root成功后,會將資源文件中釋放出來的的惡意文件推送到手機的相應(yīng)目錄下,進行惡意扣費、流氓推廣等行為。
?
?
下圖為病毒運行時釋放的惡意文件,其中in-injectso.so和in-libvangd.so會注入系統(tǒng)進程進行惡意扣費,其他apk文件會被推送到/system/app下,進行惡意推廣的行為。
?
3、Jmedia病毒?
3.1 病毒簡介
該病毒從去年6月份左右開始出現(xiàn),最早是通過仿冒國內(nèi)的知名手機游戲進行傳播,之后切換到通過色情應(yīng)用傳播,一旦用戶不慎下載、運行了該病毒,該病毒將立即下載提權(quán)文件來獲取root權(quán)限,奪取系統(tǒng)的控制權(quán);頻繁靜默下載推送應(yīng)用;并下載惡意子包,注入系統(tǒng)進程發(fā)送扣費短信,造成用戶極大的財產(chǎn)損失。
3.2 病毒執(zhí)行流程
?
3.3?病毒變種變化
?
3.4?技術(shù)點分析
(1)釋放子包?
這類病毒程序具有通用的釋放模塊,通過運行時解密assets目錄的資源文件來釋放病毒的子包kload.apk,并動態(tài)加載子包,反射調(diào)用其中方法。
?
?
?
?
(3)子包kload.apk下載root工具包,調(diào)用root工具包進行root行為
?
動態(tài)抓取的root工具包的相關(guān)鏈接
?
root工具包內(nèi)容
?
其中rt.so實質(zhì)是用于獲取root的apk文件,子包kload.apk通過解密釋放rt.so到應(yīng)用的app_pt_odex目錄下面,并通過反射調(diào)用com.power.RtEngineApi類的action方法啟動程序,代碼如下圖所示:
?
?
rt.so通過自解密自身代碼中包含的固定字符串,在本地生成文件/files/prog16_b#/b.zip和/files/prog_om#/onem.zip(#號為生成文件的類實例化時傳入的參數(shù)),然后解壓zip包釋放提權(quán)文件,并通過運行時調(diào)用提權(quán)文件私自對用戶手機進行root行為,在root成功后,刪除提權(quán)文件。代碼如下圖所示:
?
?
本地生成的文件如下圖所示,其中每個prog#(#表示序號)中包含提權(quán)文件r0,對應(yīng)不同的root方案;?.sys.attr文件實際上是實現(xiàn)了chattr功能的elf文件,能給文件進行加鎖,防止文件被輕易卸載;?.sys.us也是elf文件,是病毒之后用于獲取root權(quán)限的后門;.sys.irf是sh文件,用于替換install-recovery.sh,保證惡意進程開機啟動。
?
?
?
(3)惡意應(yīng)用注入系統(tǒng)進程和惡意扣費
病毒通過.r.sh腳本將惡意功能子包in-fun1.so,in-fun2.so,in-injectso.so,in-libvangd.so重定向到/data/local目錄下。
?
其中惡意功能子包的描述如下:
?
注入系統(tǒng)進程調(diào)起功能子包
?
tmp-msg.apk和tmp-drp.apk程序包結(jié)構(gòu):
??????
發(fā)送扣費短信:
?
?刪除發(fā)送的扣費短信:
?
?
(4)頻繁下載安裝應(yīng)用
病毒通過在/sdcard/mmt/widegets/data目錄下創(chuàng)建SQlite數(shù)據(jù)庫來控制應(yīng)用的下載和安裝
?
數(shù)據(jù)庫結(jié)構(gòu)如下:
?
應(yīng)用下載和安裝
?
?
主要下載的應(yīng)用:
?
4、FakeGame
4.1 病毒簡介
這類病毒主要通過重打包一些益智類小游戲和熱門的應(yīng)用進行傳播,感染此病毒后,該病毒從資源文件assets目錄下解密加載Root提權(quán)子包,上傳用戶的設(shè)備信息到遠(yuǎn)程服務(wù)器,獲取相應(yīng)的Root方案并進行Root提權(quán)行為。此外,此病毒還頻繁下載推送應(yīng)用,對用戶正常使用手機造成影響。
4.2?病毒執(zhí)行流程
?
4.3?技術(shù)點分析
(1)宿主APK運行時動態(tài)加載dex文件
?
?
dex文件代碼結(jié)構(gòu)很簡單,主要實現(xiàn)的功能就是將需要使用到的相關(guān)命令、文件名等字符串進行加密存儲,并進一步加載Root提權(quán)模塊的dex文件。
?
? ? ? 加密字符串:主要就是將需要使用到的相關(guān)命令、文件名等字符串進行加密存儲
?
?
解密后得到的字符串:
??
加載Root提權(quán)模塊,從assets目錄中的資源文件中將Root提權(quán)模塊dex文件釋放出來,并通過DexClassLoader進行加載調(diào)用。
?
(2)Root提權(quán)
?
其中org.anonymous.encryption.EncryptedBox為解密工具類,通過加載lib目錄下的lib_subox.so,調(diào)用其相關(guān)方法對類中的加密字符串常量進行解密,還原出annonymous_core.so文件,調(diào)用System.load加載annonymous_core.so,加載完畢后刪除該annonymous_core.so文件。
?
annonymous_core.so這個so文件主要是實現(xiàn)加解密的功能
?
其中org.anonymous.subox.SuperShell類為提供root功能的核心類,首先通過EncryptedBox.loadResource方法來加載資源文件,釋放到指定的目錄,然后調(diào)用shell命令來實現(xiàn)root。??
?
其加載的資源來源主要從網(wǎng)絡(luò)上下載,通過與遠(yuǎn)程服務(wù)器通信,獲取設(shè)備的信息發(fā)送給遠(yuǎn)端的服務(wù)器,然后服務(wù)器下發(fā)對應(yīng)的數(shù)據(jù)文件(包括root方案和一些相關(guān)的工具)
?
?
下載釋放的Root方案和一些相關(guān)的工具:
?
(3)惡意彈窗推廣
??
推廣的應(yīng)用主要包括:
?
5、 mobo病毒
5.1?病毒簡介
該病毒通過仿冒網(wǎng)速監(jiān)控器,手機清理工具、和播放器等應(yīng)用進行傳播,一旦用戶手機不慎被感染,該病毒將立即下載提權(quán)文件來獲取root權(quán)限,頻繁推送廣告,監(jiān)控用戶短信記錄,私自發(fā)送扣費短信,注入大量惡意文件到手機系統(tǒng)用于守護病毒,防止病毒被卸載;
5.2?病毒執(zhí)行流程
?
5.3?技術(shù)點分析
(1)病毒母包行為
加載子包assets/a,解碼assets/c,assets/s,生成mcr.apk和libdt.so
??
?
?
libdt.so的反射調(diào)用了mcr.apk的com.android.provider.power.Power類中的init方法
mcr.apk的init方法通過getIsFirst方法判斷程序是否第一次被運行,若是首次運行則調(diào)用Door.init(context)方法初始化配置并啟動服務(wù)b和服務(wù)d,激活廣告功能
?
?
服務(wù)b通過接收廣播彈出廣告
?
服務(wù)d啟動啟動計費服務(wù),并發(fā)送短信進行扣費,扣費成功后向服務(wù)器上傳信息
?
?
?
?
(2)Root提權(quán)
Root提權(quán)模塊判斷root方案文件是否存在,若存在則加載進行root,若不存在則創(chuàng)建生成后再進行root
?
?
/data/data/應(yīng)用包名/files/.sunny目錄下的b.png解壓后為r1~r4,分別是四種不同的root方案,利用系統(tǒng)漏洞來進行root提權(quán)。
?
?
(3)惡意文件注入
主要惡意文件及其功能簡要說明
?
修改install-recovery.sh設(shè)置惡意文件開機啟動
?
mkdevsh腳本文件,將惡意文件注入系統(tǒng)中并修改權(quán)限
?
推送的惡意apk子包
?
6、GameGhost
6.1?病毒簡介
該病毒表面上是正常的游戲應(yīng)用,實際在運行該應(yīng)用后,病毒母包解密釋放.jar模塊,此模塊分正常版本和惡意版本(具有惡意行為),可以通過服務(wù)器進行遠(yuǎn)程配置。若病毒加載了惡意的.jar模塊,其會下載root提權(quán)工具包并進行root提權(quán),提權(quán)成功后,會在系統(tǒng)注入惡意模塊進行刷量行為。此病毒隱蔽性極強,可以長期駐留于用戶手機,威脅用戶數(shù)據(jù)安全。
6.2?病毒執(zhí)行流程
?
6.3?技術(shù)點分析
(1)釋放加載惡意模塊
病毒app在每次啟動時,會調(diào)起包含惡意代碼的廣告模塊,此模塊會在游戲啟動后的初始化過程中,通過libTTPK.so,從assets目錄中提取壓縮包文件,釋放.jar子包;
?
?
云端控制更新.jar子包;
?
動態(tài)加載調(diào)用.jar文件的相關(guān)方法;
?
(2)下載Root提權(quán)模塊進行root提權(quán)
下載http://c.xxxxxx.cn/images/r3.png,實際上為zip壓縮包;
?
解壓r3.png,獲取利用工具包,其中my32,?p52是root方案,brplugin_c2000.jar是另外一個root工具箱,集成了多種root方案
?
木馬程序根據(jù)手機型號選擇使用my32、p52還是brplugin_c2000.jar來進行root提權(quán)
?
推送惡意文件到系統(tǒng)目錄
?
清理犯罪現(xiàn)場:
??
(3)加載遠(yuǎn)控惡意插件框架,進行惡意刷量行為
病毒在完成入侵后,在/data/misc/目錄駐留agent遠(yuǎn)控插件框架,并且在/system/bin目錄下篡改vold服務(wù),在開機啟動時,調(diào)起遠(yuǎn)控框架。
遠(yuǎn)控插件框架通過與遠(yuǎn)程服務(wù)器交互,下載不同的任務(wù)模塊,其中task模塊是用于惡意刷量行為。
?
?
task模塊運行后,通過注入so的方式注入應(yīng)用進程,獲取用戶信息等相關(guān)敏感數(shù)據(jù),后續(xù)通過與控制服務(wù)器、應(yīng)用服務(wù)器進行交互,最終從控制服務(wù)器獲取包含key,uid參數(shù)的任務(wù)請求,從而進行惡意刷量。
注入應(yīng)用進程的惡意so,獲取相關(guān)的sessionkey、cookie等敏感數(shù)據(jù),保存到sdcard卡上
?
從文件中獲取數(shù)據(jù),上傳到控制服務(wù)器,并與控制服務(wù)器進行交互
?
?
?
控制服務(wù)器返回任務(wù)請求鏈接,進行刷量
?
7?EvilPlugin
7.1 病毒簡介
該病毒通過仿冒系統(tǒng)服務(wù)和系統(tǒng)應(yīng)用等進行傳播,一旦用戶手機不慎被感染,該病毒將立即下載提權(quán)文件來獲取root權(quán)限,root成功后,推送大量的惡意Apk子包到設(shè)備系統(tǒng)目錄,對用戶正常使用手機造成影響。
7.2 病毒執(zhí)行流程
??
7.3?技術(shù)點分析
(1)病毒母包運行時下載Root提權(quán)子包dex
?
釋放的dex文件
?
(2)root提權(quán)子包
目錄結(jié)構(gòu)如下:
?
相關(guān)的root方案列表
?
調(diào)用工具包進行root
?
(3)推送惡意apk文件到系統(tǒng)rom內(nèi)
主要推送的apk有
五、Root類病毒的預(yù)防和清理方案
5.1?安全建議
防范此類技術(shù)高超、功能強大的手機病毒,安卓手機用戶需要提高安全意識,養(yǎng)成良好的手機使用習(xí)慣,騰訊手機管家及騰訊反詐騙實驗室建議:
a 下載應(yīng)用時盡量通過官方或正規(guī)第三方電子市場下載安裝;
b?不要輕易下載安裝所謂“色情類”相關(guān)視頻應(yīng)用;
c ?日常使用手機過程中,謹(jǐn)慎點擊軟件內(nèi)的推送廣告;
d?來源不明的安裝包、文件等不要隨意點擊下載;
e ?手機上網(wǎng)時,對于不明鏈接、安全性未知的二維碼等信息不隨意點擊或掃描;
f ?定期使用諸如騰訊手機管家等手機安全軟件查殺手機病毒。
5.2?清理方案
如發(fā)現(xiàn)手機已有中Root類病毒的跡象,可下載使用騰訊手機頑固木馬專殺進行查殺。騰訊手機頑固木馬專殺支持Elf、jar、dex和APK等多種格式的文件掃描和查殺,可以深度清理寄生于手機系統(tǒng)底層的Elf病毒和Apk病毒。
?
原文地址:?http://slab.qq.com/news/authority/1585.html
與50位技術(shù)專家面對面20年技術(shù)見證,附贈技術(shù)全景圖總結(jié)
以上是生活随笔為你收集整理的2017年Q1安卓ROOT类恶意病毒发展趋势研究报告的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 360脱壳-native函数还原笔记-2
- 下一篇: 全能HOOK框架 JNI NATIVE