【Android病毒分析報告】 - AppPortal “惡意行爲雲端無限擴展”

本文章由Jack_Jia編寫，轉載請註明出處。  
文章鏈接：http://blog.csdn.net/jiazhijun/article/details/21172749

作者：Jack_Jia    郵箱： [email protected]

百度安全實驗室最近發現了一款“應用傳送門”病毒，該病毒架構設計簡單靈活，完全實現了惡意代碼的雲端控制、插件化和動態可擴展。該病毒僞裝成系統服務，且沒有桌面圖標，不易發現。

該病毒能夠從服務端獲取惡意插件列表信息。依次下載惡意插件並調用惡意插件代碼，從目前監測到的惡意插件來看，下載的插件存在以下惡意行爲：

1、  靜默下載安裝其它惡意程序。

2、  靜默下載安裝其它推廣應用。

由於惡意插件下載列表由雲端控制，一旦用戶感染該病毒，有可能會在不知不覺的情況下被安裝其它惡意軟件及推廣軟件，消耗用戶大量的數據流量。無限可能，後果不可估量，嚴重威脅到用戶的隱私及賬戶安全。

安裝該病毒約24小時後，經測試，會下載大量推廣軟件，如下圖所示：

 

接下來我們對該病毒進行詳細的分析：

 

1、惡意代碼結構如下：

2.、註冊監聽大量系統廣播，以便觸發惡意代碼

 

3、在對整個惡意代碼進行分析後，我們得出了以下惡意代碼的運行邏輯圖

首先當設備開機、解鎖等情況發生時，惡意軟件將請求服務器獲取惡意插件信息，並把惡意插件信息存儲到本地數據庫中，惡意軟件會定時讀取數據庫插件信息，下載指定惡意插件並運行惡意插件代碼。

下圖爲抓取到數據庫文件，內容如下：

 

惡意軟件將會從相應的URL下載JAR文件，然後通過DexClassLoader動態調用相應的惡意插件。

接下來我們分別對雲端返回的兩個惡意插件進行分析。

    

（1）      惡意插件一

MD5=DD46DB69096B55D120AAFC920220A1DD

 

惡意代碼結構：

         惡意行爲：

該惡意插件會請求Root權限，靜默下載另一款惡意軟件AndroidFileSystem.apk（下載地址：http://www.miuiapp.net:9394/marketing/ad/installer/AndroidFileSystem.apk），並把該惡意軟件安裝爲系統應用。

我們會在後面對AndroidFileSystem.apk進行詳細分析。

 

（2）      惡意插件二

MD5：779AC36160AB1285CF136321FB62D37B:

 

惡意代碼結構：

 

         惡意行爲：

該惡意插件從服務端獲取推廣應用列表，並靜默下載安裝推廣應用。給用戶帶來高額的移動數據流浪費。

推廣應用指令服務器地址：

http://api.chenxintao.com/pushok/info_rootsetup.php）。

 

惡意代碼片段：

                  

獲取推廣應用列表

 

靜默安裝推廣應用

安裝成功後，啓動推廣應用        

 

接下來我們對惡意插件一安裝的AndroidFileSystem.apk進行詳細的分析：

AndroidFileSystem.apk惡意代碼結構：

AndroidMainfest.xml註冊的惡意組件：

該惡意軟件也完全實現了惡意插件模塊化和可定製化。

 

惡意行爲：

AndroidFileSystem本身並不包含具體惡意行爲代碼，AndroidFileSystem啓動後，首先請求雲端獲取具體插件代碼信息。雲端返回信息包含插件下載地址及插件代碼調用方式。插件保存文件名爲launcher.apk。

根據指令返回的插件信息調用插件代碼：

我們根據雲端返回信息，獲取到了AndroidFileSystem下載的launcher.apk插件。

launcher.apk代碼結構如下：

Launcher插件具體是幹什麼的呢，我們對該插件分析後發現，該插件其實也並不包含具體的惡意行爲代碼，launcher也需要通過訪問雲端獲取具體的惡意行爲代碼插件。

Launcher會從雲端獲取具體惡意插件信息，下載指定的惡意行爲插件

（惡意插件服務器地址：http://api.visonlee.com/plugin/entries.php），

並通過DexClassLoader動態調用插件代碼。

 

        根據launcher服務器返回具體惡意行爲插件信息，我們獲取到如下惡意插件p_4.apk：

      p_4.apk代碼結構如下：

該具體惡意行爲插件會模擬adwo廣告平臺協議，自動化模擬點擊廣告平臺廣告，騙取廣告平臺軟件推廣費，同時該行爲會給用戶帶來高額的移動數據流量費。

具體惡意代碼如下：

  同時惡意開發者也對其它的廣告平臺進行了協議模擬。

 

通過以上分析可以看着，惡意軟件作者通過插件化的設計，可以使惡意軟件的功能通過雲端控制得到不斷的擴充。這樣的設計也有利於躲避安全軟件的檢測。

該惡意軟件涉及到的指令服務器包括：

visonlee.com     50.62.10.186[美國]

miuiapp.net     183.60.142.175[廣東省東莞市 電信]

chenxintao.com   106.187.91.191[日本]

51appchina.com  123.183.211.138 [河北省廊坊市 電信]