不是闹鬼,是病毒!全球首个Golem(傀儡)病毒感染数万手机

手机放在桌子上充电,突然亮屏,在没人触摸的情况下,一个手机游戏自己运行,滑动,执行许多命令。执行完之后,手机静悄悄关闭屏幕显示,跟什么都没发生一样。手机主人会发现,自己的手机电池经常没电,流量消耗也比平时多很多。这不是闹鬼,而是手机中毒了。

3月2日,猎豹移动安全实验室发现一枚新型安卓木马,名为Golem(傀儡),是Ghost Push (幽灵推)的变种病毒。该病毒在全球数十个国家被发现,目前的日活跃量为4万台手机,累计感染量估计在10万以上。感染量最多的三个国家是印度、印尼和菲律宾,这些国家被许多互联网公司看好,并投入许多费用推广自己的APP,这些推广费的一部分流入了病毒散播者的腰包。

以前有的广告联盟会用病毒感染的机器(肉鸡)去点击网络广告,获取广告费分成,但在安卓手机上截获能模拟用户行为的病毒,还是全球首次。这意味着,移动广告欺诈产业,已经发展到一个新的阶段,这将给安全公司和广告反欺诈技术提出更高要求。

Golem木马详情分析

Golem FILE MD5: bdaeef30e40b0ae2abcac5b87074682b

通过对Golem木马的详细分析,该木马在用户屏幕解锁,或者开机启动后,会从云端(http://down.onowcdn.com/myroapk/update_two.txt )下载一个dex.

然后直接动态加载下载dex, 并调用其中名为 com.facebook.mini.service.RunService 这个类 .

在我们跟踪到的最新的dex(MD5:16E931588E63BE8E533D94D4BC2D1CD3 )中,发现病毒会运行指定的App (当然会判断该App是否存在), 并且执行点击操作 .

如以上代码, 循环3次, 每次运行指定App. 并且点击指定坐标 . 如图中的逻辑, 大约是屏幕中间偏上的位置.

病毒用到了input命令, 正常的安卓设备基本上都会预制这个input工具。 该工具主要也是帮助开发者执行自动化测试。

正常情况是可以在root用户或者shell用户的权限 或者某个系统应用申请了android.permission.INJECT_EVENTS这个权限下执行该命令

然而该病毒并不满足后面两个条件. 我们发现Golem病毒利用了其他ROOT病毒留下的后门,从而拿到了ROOT权限 .

跑题了,说回病毒. 不仅仅是模拟点击而已. 点亮屏幕, 运行App , 点击按钮, 滑动屏幕, 最后触发指定功能一气呵成.

然后在加上一些随机, 好像就像是真的有人在用这个App. 囧。

总结

Golem可以远程控制设备、在用户不知情的情况下自动启动并运行应用,这些恶意行为会消耗大量的网络数据、电池电量和本地设备资源,结果是使得手机运行速度变慢。

Golem幕后的推动者

Golem是Ghost Push root木马家族中的一个新成员,但在黑市利润链条却扮演了一个非常重要的角色。毫无疑问的是,Golem木马的开发者一定是出于经济动机才开发这款木马。因为Golem可以模仿正常用户行为,伪造出逼真的活跃数据,从而赚取大量的广告推广费用。例如,如果说攻击者在一个设备上安装一个推广应用可以获得1元的话,那么如果该应用被打开的话,他们就能获得2元甚至更多的回报。

由于该木马可以带来巨大的经济利益,Golem的恶意行为暗示了安卓木马的新趋势。幸运的是,全球各安全公司都正在寻找应对策略,保护用户的安全。

* 作者:猎豹移动安全(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-03-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯云安全的专栏

Petya 来袭,腾讯云快速响应提供安全解决方案

腾讯云联合电脑管家发现相关样本在国内出现,腾讯云已第一时间启动用户防护引导,到目前为止,云上用户尚无感染案例,但建议没打补丁用户尽快打补丁避免感染风险。

3.1K0
来自专栏FreeBuf

犯罪成本越来越低:三步即可傻瓜化制作勒索软件

微信号:freebuf McAfee在暗网中发现了一款专门制作勒索软件的工具,使用这款软件,3步你就能制作勒索软件了。 地下犯罪市场很容易找到这些恶意软件生成器...

2057
来自专栏FreeBuf

全球500强企业弃用的Web应用存在安全隐患

近日,一项针对全球领先企业所拥有的废弃网站进行的研究表明,老旧的Web应用程序需要进行正确地“退役”处理。否则,这些已被弃用很久的资源仍然会经常影响着企业安全,...

1204
来自专栏FreeBuf

Industroyer去年袭击乌克兰电网?这可能是震网之后最危险的工控恶意程序

2016年12月发生过一起针对乌克兰电网的黑客袭击事件,造成其首都基辅断电超一小时,数百万户家庭被迫供电中断。 最近安全专家经调查发现,侵入乌克兰工控系统的罪...

3115
来自专栏*坤的Blog

史融资2.5亿的“自主国产”红芯浏览器,其实是个套壳Chrome

今天早上看到朋友发的浏览器图片,感觉很好奇,然后就看了下,感觉文章还不错,就转发了下,然后下载浏览器着实花了不小心思,最后文末添加了红芯浏览器转存在蓝奏云盘的下...

1152
来自专栏FreeBuf

移动APP安全行业报告金融篇

移动 APP 安全行业现状与导读 移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动...

33910
来自专栏非著名程序员

由勒索病毒而引起的一些想法和看法

从5月12日晚,勒索病毒开始慢慢爆发,到今天至此更是快速蔓延,席卷全球。全球近100个国家的不计其数的电脑受到一个叫做“WannaCry”勒索病毒的侵扰。到目前...

2355
来自专栏*坤的Blog

融资2.5亿的“自主国产”红芯浏览器,其实是个套壳Chrome

今天早上看到朋友发的浏览器图片,感觉很好奇,然后就看了下,感觉文章还不错,就转发了下,然后下载浏览器着实花了不小心思,最后文末添加了转存在蓝奏云盘的连接了.

1873
来自专栏程序员宝库

区块链现史诗级漏洞,可完全控制虚拟货币交易;Node.js 10.3.0;这张毕业照,只有一个女生!但她说IT男暖起来女孩都嫉妒

5 月 29 日,据 360 安全卫士官方发布,360 Vulcan(伏尔甘)团队发现了区块链平台 EOS 的一系列高危安全漏洞。经验证,其中部分漏洞可以在 E...

1213
来自专栏FreeBuf

这款奇葩的Android勒索软件竟然让受害者用语音说出解锁密码

这是一款针对国人的勒索软件,锁屏界面会显示勒索人的QQ,解锁的时候还用了百度TTL进行语音输入。 ? 近期,安全研究专家发现了一种新型的Android勒索软件。...

2127

扫码关注云+社区

领取腾讯云代金券