本文章由Jack_Jia編寫,轉載請註明出處。
文章鏈接:http://blog.csdn.net/jiazhijun/article/details/21172749
作者:Jack_Jia 郵箱: [email protected]
百度安全實驗室最近發現了一款“應用傳送門”病毒,該病毒架構設計簡單靈活,完全實現了惡意代碼的雲端控制、插件化和動態可擴展。該病毒僞裝成系統服務,且沒有桌面圖標,不易發現。
該病毒能夠從服務端獲取惡意插件列表信息。依次下載惡意插件並調用惡意插件代碼,從目前監測到的惡意插件來看,下載的插件存在以下惡意行爲:
1、 靜默下載安裝其它惡意程序。
2、 靜默下載安裝其它推廣應用。
由於惡意插件下載列表由雲端控制,一旦用戶感染該病毒,有可能會在不知不覺的情況下被安裝其它惡意軟件及推廣軟件,消耗用戶大量的數據流量。無限可能,後果不可估量,嚴重威脅到用戶的隱私及賬戶安全。
安裝該病毒約24小時後,經測試,會下載大量推廣軟件,如下圖所示:
接下來我們對該病毒進行詳細的分析:
1、惡意代碼結構如下:
2.、註冊監聽大量系統廣播,以便觸發惡意代碼
3、在對整個惡意代碼進行分析後,我們得出了以下惡意代碼的運行邏輯圖
首先當設備開機、解鎖等情況發生時,惡意軟件將請求服務器獲取惡意插件信息,並把惡意插件信息存儲到本地數據庫中,惡意軟件會定時讀取數據庫插件信息,下載指定惡意插件並運行惡意插件代碼。
下圖爲抓取到數據庫文件,內容如下:
惡意軟件將會從相應的URL下載JAR文件,然後通過DexClassLoader動態調用相應的惡意插件。
接下來我們分別對雲端返回的兩個惡意插件進行分析。
(1) 惡意插件一
MD5=DD46DB69096B55D120AAFC920220A1DD
惡意代碼結構:
惡意行爲:
該惡意插件會請求Root權限,靜默下載另一款惡意軟件AndroidFileSystem.apk(下載地址:http://www.miuiapp.net:9394/marketing/ad/installer/AndroidFileSystem.apk),並把該惡意軟件安裝爲系統應用。
我們會在後面對AndroidFileSystem.apk進行詳細分析。
(2) 惡意插件二
MD5:779AC36160AB1285CF136321FB62D37B:
惡意代碼結構:
惡意行爲:
該惡意插件從服務端獲取推廣應用列表,並靜默下載安裝推廣應用。給用戶帶來高額的移動數據流浪費。
推廣應用指令服務器地址:
http://api.chenxintao.com/pushok/info_rootsetup.php)。
惡意代碼片段:
獲取推廣應用列表
靜默安裝推廣應用
安裝成功後,啓動推廣應用
接下來我們對惡意插件一安裝的AndroidFileSystem.apk進行詳細的分析:
AndroidFileSystem.apk惡意代碼結構:
AndroidMainfest.xml註冊的惡意組件:
該惡意軟件也完全實現了惡意插件模塊化和可定製化。
惡意行爲:
AndroidFileSystem本身並不包含具體惡意行爲代碼,AndroidFileSystem啓動後,首先請求雲端獲取具體插件代碼信息。雲端返回信息包含插件下載地址及插件代碼調用方式。插件保存文件名爲launcher.apk。
根據指令返回的插件信息調用插件代碼:
我們根據雲端返回信息,獲取到了AndroidFileSystem下載的launcher.apk插件。
launcher.apk代碼結構如下:
Launcher插件具體是幹什麼的呢,我們對該插件分析後發現,該插件其實也並不包含具體的惡意行爲代碼,launcher也需要通過訪問雲端獲取具體的惡意行爲代碼插件。
Launcher會從雲端獲取具體惡意插件信息,下載指定的惡意行爲插件
(惡意插件服務器地址:http://api.visonlee.com/plugin/entries.php),
並通過DexClassLoader動態調用插件代碼。
根據launcher服務器返回具體惡意行爲插件信息,我們獲取到如下惡意插件p_4.apk:
p_4.apk代碼結構如下:
該具體惡意行爲插件會模擬adwo廣告平臺協議,自動化模擬點擊廣告平臺廣告,騙取廣告平臺軟件推廣費,同時該行爲會給用戶帶來高額的移動數據流量費。
具體惡意代碼如下:
同時惡意開發者也對其它的廣告平臺進行了協議模擬。
通過以上分析可以看着,惡意軟件作者通過插件化的設計,可以使惡意軟件的功能通過雲端控制得到不斷的擴充。這樣的設計也有利於躲避安全軟件的檢測。
該惡意軟件涉及到的指令服務器包括:
visonlee.com 50.62.10.186[美國]
miuiapp.net 183.60.142.175[廣東省東莞市 電信]
chenxintao.com 106.187.91.191[日本]
51appchina.com 123.183.211.138 [河北省廊坊市 電信]