魔波广告恶意病毒简析

1.病毒介绍

魔波广告恶意病毒通过仿冒浏览器,播放器和一些游戏等进行传播,一旦用户手机不慎被感染,该病毒将立即下载提权文件来获取 root权限,频繁推送广告,监控用户短信记录,私自发送扣费短信,注入大量恶意文件到手机系统用于守护病毒,防止病毒被卸载。

病毒样本的下载来源大多是来自国外的云服务器如cloudfront.net和amazonaws.com ,软件名通常为全英文如WatermelonShare、CalcMaster等,推送的广告内容以及下载的软件也都是国外软件,以此推测此病毒的目标应该是国外用户;从病毒功能及代码注释信息上看, 此病毒是国内制造的,因此推测此病毒是国内制造,国外流行的典型广告木马 ,我们根据感染量较大的一个样本中的一些线索推测木马作 者可能是在福建福州,一家从事app市场的公司。

病毒感染量变化趋势:

2.样本信息

包名:com.mobo.mrclean

证书:1D90BFFEC2A26B6CC50151757CBCEE04

Assets目录下的子包

3.恶意行为

1)病毒运行后,立即下载提权文件来获取root权限,夺取系统的控制权; 2)注入大量恶意文件到手机系统,阻止病毒被卸载; 3)下载并静默安装恶意子包至手机rom内 ; 4)频繁推送恶意广告,影响用户正常使用手机;

4.病毒执行流程

5.详细分析

1)病毒母包行为

加载子包assets/a

调用in1方法解码assets/c,assets/s,生成mcr.apk和libdt.so

调用in2方法加载libdt.so

libdt.so中通过in3方法了mcr.apk

libdt.so的in4方法通过loadClass方式调用了mcr.apk的com.android.provider.power.Power类中的init方法

com.android.provider.power.Power类中的init方法

initcore方法中通过getIsFirst方法判断程序是否第一次被运行

若是首次运行则调用Door.init(context);方法初始化配置并启动服务b和服务d,激活广告功能

服务b,启动线程DetectAppTask并通过timerSet定时持续发送广播

检测包名通过之后,线程DetectAppTask发送弹窗广播Action”com.fpt.alk.clk”

广播接收器通过接收广播弹出广告

服务d启动诱导消费模块

通过startservice方式启动服务c

启动计费服务,创建线程GasLogicRun

启动线程GasLogicRun,调用handlerRet方法发送短信

handlerRet方法解析JSONObject获取相关的计费信息并发送短信进行扣费

拦截含有指定关键字的短信

扣费成功后向服务器上传信息

DataStore类用于操作存放屏蔽关键词的数据库fmoonStore.db

Cpsavd类用于监控短信变化

2)Root相关模块

Root启动模块子包com.xx.mas.demo,判断root方案文件是否存在,若存在则加载进行root,若不存在则创建生成再进行root

/data/data/包名/files/.sunny目录下的b.png解压后为r1~r4,分别是四种root方案,利用了CVE-2012-6442、WooYun-2013-21778、CVE-2013-6282等漏洞来进行root提权。

3)其他恶意文件功能简要说明

elf文件.ukd,注入恶意文件至手机系统中

如下注入恶意文件到/system/xbin/.pr.io

Elf文件.pr.io用于守护包名为com.music.store.fore.go的恶意apk并与服务器交互信息

elf文件.pe用于保护root权限;

elf文件supolicy

用于在init.rc和install-recovery.sh中添加恶意文件开机启动

修改后的install-recovery.sh

mkdevsh文件

将恶意文件注入系统中并修改权限

.debuggerd.no注入恶意文件至系统中并设置守护线程

.ir文件用于设置守护线程

4)rom恶意apk子包分析

用户量情况

B90A7FCB2019BB59799646F77746FAEF11EECE37

启动后加载资源子包\assets\is.png,主要用于广告的统计与服务器的交互,也有私自下载静默安装的风险

29E9B1F1285D73612C751ACF3D755A99B31F3509EF28DE725D2AF36E7BE5E063ADF6D1DF358AE95D32486B0757215FC94684D85762C836007A6811D0E6E87065821C5FDEC3F5C1CF6C2A1736B0AC1B8BA715A1A36DF454C2DCC242D5884DF40150670574 

启动后解密并加载资源子包\res\raw\protect.apk,用于唤醒病毒主模块进程,并私自下载安装其他软件

私自下载安装其他软件

5)样本相关链接:

推广信息图片: http://d3********iyhtno.cloudfront.net/pic/pic1.jpg Root模块: http://down.c*****xa.com/b****okr/rtt_0310_577.apk http://down.c******xa.com/testapk/is1010_1154.jar Rom内恶意子包netalpha http://down.co****n.com/o****in/mains2.apk

6)查杀截图

7)清除方案

要将此病毒彻底清除需要清理系统中的恶意文件:

*作者:腾讯手机管家(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.com)

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2016-11-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

详细分析使用Certutil解码的Office恶意软件

最近发现使用certutil进行解码的office恶意软件,这种恶意软件通过OLE机制落地通过BASE64编码的恶意软件,然后通过调用certutil来进行解码...

2784
来自专栏FreeBuf

Palo Alto Networks:新型恶意软件家族Reaver与SunOrcal存在一定联系

概要 Unit 42安全小组已经发现了一种新的恶意软件家族,并将其命名为“Reaver”。研究人员表示,这一新型恶意软件与在2016年针对中国台湾地区的黑客攻击...

2485
来自专栏安恒信息

窥探家庭网络的恶意木马

近几年,我们已经看到了很多关于家庭路由器遭受攻击的报道。攻击路由器的恶意软件会将用户的上网访问重定向到各种恶意站点,其他的攻击方式还包括植入后门和DNS劫持。在...

2525
来自专栏逸鹏说道

平安证券自主开户客户端存在任意用户信息篡改漏洞

详细说明: 1、打开应用点击“马上开户”-“我知道了”,登录账户 2、未注册过的手机登录时,验证码可爆破。但是这个只是任意用户注册,是另外一个漏洞了。 3、...

3056
来自专栏学海无涯

iOS开发之提取App的UI素材

在学习当中,有时候看到非常好的App,手痒的同学可能都想"临摹"一番,但是往往由于无法获取App的UI素材以致"功败垂成",今天就介绍一下如何快速提取App中的...

3469
来自专栏FreeBuf

3步以内利用中间人MitM攻击从RDP连接中获得密码

今天和大家分享个小技术,简单几步通过执行MitM攻击同时从RDP连接中提取明文凭据。我这里使用的测试环境是Linux(1台)、Windows(2台),此环境仅供...

1863
来自专栏玄魂工作室

【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性

原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-tech...

2816
来自专栏王亚昌的专栏

WinPcap在无线局域网下的使用

    最近在做网关方面的项目,用到了WinPcap开发库去获得数据帧,这个开发库功能很强大,但是在无线局域网环境下使用时有一些不同,下面就WinPcap的使用...

1192
来自专栏用户2442861的专栏

支付宝即时到帐接口的python实现,示例采用django框架

http://blog.csdn.net/hornbills/article/details/40338949

3511
来自专栏walterlv - 吕毅的博客

查询已连接 Wi-Fi 的密码(入门和进阶两种方法)

2017-10-09 13:01

5802

扫码关注云+社区

领取腾讯云代金券