2015年8月，酷派大神手机用户在安装官方提供的系统升级包后，手机便被预安装了MonkeyTest和TimeService等未知软件。截止到9月18日，该类病毒的每日感染量已经扩大到了最高70万台/天，有上万种机型收到了Ghost Push的影响，典型的有酷派、三星、MOTO等等（附件一提供了所有受影响机型列表）。

通过数据分析如图1所示，我们发现Ghost Push病毒感染用户主要分布于美国、俄罗斯、印度、中国等。相对在中国而言，云南、广东感染量最高。

图1 感染分布图

我们称这类病毒为Ghost Push病毒。该类病毒软件开机自动运行，通过用户数据流量进行广告推送，并且在未经过用户允许的情况下静默下载安装应用。甚至用户无法通过手机杀毒软件、手动卸载该类病毒。手机感染之后如图2所示。

图2 感染Ghost Push病毒的手机举例

Ghost Push病毒已经给安卓用户造成了巨大的困扰。本文就Ghost Push的执行流程进行详细的分析，同时也提出了针对这类病毒的解决方案及安全建议。

Ghost Push病毒在执行的过程当中，会获取Root权限，通过用户数据流量进行广告推送、静默下载安装应用。具体的流程如图3所示。

图3 Ghost Push病毒执行流程

首先，攻击者将恶意代码注入到合法的应用当中，通过二次打包，伪装成为原本的合法应用(被感染的应用列表如附件二所示)。一旦用户下载了被注入恶意代码的“正常”应用，应用中的恶意代码便开始执行，具体执行过程如下。

0x01 病毒释放安装流程分析

---

1.1 获取Root权限

恶意代码首先向服务器0c6K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4H3K9g2)9J5k6h3q4W2k6s2S2V1M7X3y4T1i4K6u0W2j5$3!0E0i4K6u0r3k6$3N6$3K9h3g2%4i4K6u0r3M7Y4y4V1k6r3q4@1k6h3W2F1k6r3g2^5i4@1f1#2i4K6S2r3i4K6V1I4i4@1f1&6i4K6R3H3i4K6R3I4i4@1f1$3i4K6R3&6i4K6S2n7i4@1f1$3i4K6W2o6i4@1u0m8i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1#2i4K6W2q4i4K6S2n7i4@1f1#2i4K6S2r3i4@1t1%4i4@1f1%4i4@1q4p5i4K6R3&6i4@1f1&6i4K6R3#2i4K6S2p5i4@1f1%4i4@1u0p5i4@1q4q4i4@1f1@1i4@1u0r3i4@1p5I4i4@1f1$3i4K6R3I4i4@1q4r3i4@1f1K6i4K6R3H3i4K6R3J5i4@1f1&6i4K6W2m8i4K6S2r3i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1@1i4@1u0n7i4K6S2q4i4@1f1$3i4K6W2o6i4K6S2p5i4@1f1#2i4K6S2m8i4@1p5I4i4@1f1#2i4K6V1&6i4@1p5^5i4@1f1%4i4@1q4n7i4@1q4r3i4@1f1^5i4K6S2q4i4@1t1%4i4@1f1#2i4K6S2r3i4K6V1$3f1X3!0G2N6q4!0q4y4g2!0n7y4#2!0m8y4g2!0q4y4g2)9^5y4g2!0n7y4#2!0q4y4g2)9^5b7#2)9^5y4h3S2@1N6s2m8Q4x3@1q4Q4x3V1k6Q4x3V1k6V1L8%4N6F1i4K6u0W2N6i4m8Y4j5h3#2W2j5$3c8F1i4K6u0W2j5$3!0E0i4K6u0r3L8$3&6W2K9$3g2&6M7$3c8C8i4K6u0r3N6s2u0Q4x3U0k6Q4x3U0x3&6y4g2)9K6b7X3&6W2N6#2)9J5c8Y4u0@1i4K6t1$3i4K6t1K6z5e0g2Q4x3@1t1H3z5e0p5#2i4K6g2X3x3e0x3H3i4K6u0W2j5i4m8C8i4@1f1K6i4K6R3H3i4K6R3J5i4@1f1^5i4@1q4r3i4@1p5#2f1X3!0G2N6q4!0q4y4g2!0n7y4#2!0m8y4g2!0q4y4g2)9^5y4g2!0n7y4#2!0q4y4g2)9^5b7#2)9^5y4g2!0q4y4g2)9^5z5q4!0m8z5g2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4W2)9^5z5g2)9^5b7W2!0q4y4W2)9&6b7#2!0n7b7g2!0q4y4g2!0m8c8q4)9&6z5q4!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2!0n7b7#2)9^5c8W2!0q4y4W2!0n7y4q4)9&6c8g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5q4)9^5c8g2!0n7y4#2!0q4y4g2)9^5c8W2)9&6y4W2!0q4y4W2)9^5z5g2)9^5b7W2!0q4y4W2)9&6b7#2!0n7b7g2!0q4y4#2)9&6b7g2)9^5y4q4u0G2L8%4c8Q4c8e0k6Q4z5f1c8Q4z5o6y4Q4c8e0W2Q4z5e0W2Q4z5e0m8Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0N6Q4z5f1u0Q4b7f1g2Q4c8e0g2Q4z5o6W2Q4z5p5c8Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0W2Q4z5o6m8Q4z5o6u0Q4c8e0W2Q4z5o6g2Q4z5p5c8Q4c8e0c8Q4b7U0S2Q4z5p5q4Q4c8e0c8Q4b7U0S2Q4z5o6N6Q4c8e0N6Q4b7e0N6Q4z5p5c8Q4c8e0k6Q4z5f1y4Q4b7V1q4Q4c8e0g2Q4z5f1g2Q4z5p5u0Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0k6Q4z5o6S2Q4z5e0m8Q4c8e0g2Q4z5p5q4Q4z5f1k6Q4c8e0k6Q4z5o6W2Q4b7e0N6Q4c8e0S2Q4b7e0q4Q4z5p5y4d9L8$3!0@1i4@1f1$3i4K6S2r3i4K6V1H3i4@1f1$3i4K6W2p5i4K6R3K6i4@1f1$3i4K6V1K6i4K6S2p5i4@1f1@1i4@1u0p5i4K6W2o6i4@1f1K6i4K6R3H3i4K6R3J5

本文列出了针对三星、MTK两家厂商的Root执行代码，如图4.a和图4.b所示。

图4.a 三星ROOT方案

图4.b MTK ROOT方案

在获取了Root权限之后，恶意代码执行四类操作：1）替换debuggerd文件；2）修改install-recovery.sh文件；3)释放恶意bin文件；4）安装ROM病毒。

1.2 替换debuggerd文件

病毒会将原系统的debuggerd文件另存为debuggerd-test文件，并将自己的恶意bin文件保存为系统的debuggerd文件，如图5所示。

图5 替换debuggerd文件

1.3 修改install-recovery.sh文件

病毒修改系统的install-recovery.sh文件，如图6所示。

图6 修改install-recovery.sh文件

1.4 释放恶意bin文件

病毒将恶意bin文件的二进制代码固定内嵌在Java代码中，并在执行的过程中，向/system/xbin目录下释放。

图7 释放bin文件

1.5 安装ROM病毒

在恶意代码执行的过程中，会向系统目录/system/priv-app或/system/app中写入如camera_update应用的病毒母体，如图8所示。

图8 释放病毒母体

由于获得了Root权限，恶意代码首先检查/system/priv-app目录下是否安装了camera_update病毒母体。该病毒母体会在bin文件的守护下，一直存在在手机的ROM中，防止被卸载，详见第二节分析。

病毒母体在安装完毕后，会静默安装Time Service、Monkey Test等应用。这些应用会通过短连接方式从服务器（Monkey Test对应服务器：767K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2S2M7%4y4D9j5g2)9J5k6h3S2V1P5h3k6Z5M7r3!0A6i4K6u0W2j5$3!0E0i4K6u0r3k6$3E0$3K9h3g2%4i4K6u0r3K9h3&6X3L8#2)9J5c8U0R3H3x3g2!0q4c8W2!0n7b7#2)9&6b7R3`.`. Time Service对应服务器：f40K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4g2Q4x3X3g2K6P5h3I4D9P5i4p5I4L8W2)9J5k6h3y4G2L8g2)9J5c8X3#2E0M7$3I4G2N6#2)9J5c8X3q4H3K9g2)9J5c8U0R3J5x3g2!0q4x3#2)9^5x3q4)9^5x3W2!0q4c8W2!0n7b7#2)9^5z5g2!0q4z5q4)9^5c8g2!0n7y4#2!0q4y4g2)9^5c8W2)9&6y4W2!0q4y4g2!0n7b7g2)9&6y4q4!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4q4!0n7c8W2!0m8x3g2!0q4y4W2)9^5x3g2!0m8c8W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4W2)9&6b7#2!0m8b7g2!0q4y4#2!0n7b7W2)9^5c8W2!0q4z5q4!0n7c8W2)9^5y4#2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4W2)9^5z5q4!0n7y4#2!0q4y4g2)9^5y4g2)9^5x3g2!0q4z5q4!0m8c8g2!0n7z5q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2)9^5x3#2)9^5y4g2!0q4y4g2)9^5y4W2!0n7y4g2!0q4y4q4!0n7z5q4)9^5b7W2!0q4z5q4!0n7c8W2)9&6b7W2!0q4z5q4!0m8x3g2)9^5b7#2!0q4y4q4!0n7z5q4)9^5b7W2!0q4z5q4!0n7c8q4!0n7c8q4!0q4y4g2!0m8c8g2)9^5z5g2!0q4z5q4!0m8x3#2)9^5y4g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2!0m8y4W2)9^5x3W2!0q4y4g2)9&6b7W2!0n7c8e0W2Q4c8e0y4Q4z5o6m8Q4z5o6q4Q4c8e0g2Q4z5f1u0Q4b7V1f1I4x3q4!0q4y4W2)9^5z5g2)9^5x3q4!0q4y4#2!0m8y4q4!0n7b7g2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

图9 Monkey Test子包从服务器获取应用信息

图10 在用户未知的情况下在ROM内安装应用

0x02 病毒母体守护流程分析（图3中蓝色部分所示）

---

2.1 bin文件守护ROM病毒母体

在系统启动时，会执行install-recovery.sh与debuggerd文件。这两个文件会执行释放的恶意bin文件。bin文件会一直保持运行状态，守护释放在ROM中的病毒母体。并从服务器获取最新病毒安装包。

图11 获取最新病毒包

当病毒母体被删除后，bin文件会自动再次下载并向ROM中安装病毒母体，如图12所示。

图12 病毒母体守护流程

图13 病毒母体安装流程

2.2 bin文件防删除

同时，在手机运行的过程中，通过图14所示的chattr +i操作，使得用户无法删除恶意bin文件。

图14 通过chattr +i操作防止用户删除bin文件

2.3 apk防卸载

Ghost Push病毒通过chattr + i操作使得用户无法卸载已经安装的apk应用，如图15所示

图15 通过chattr + i操作防止用户卸载apk

0x03 病毒恶意行为分析

---

Ghost Push病毒安装的应用软件均具有数据流量广告推送、静默安装应用软件两种恶意行为。

3.1 广告推送

通过Ghost Push病毒安装、释放在用户手机上的应用，会通过手机数据流量向用户推送广告。具体流程如图16所示。当用户开启屏幕时，便会触发展示推送广告推送。

图16 开启屏幕触发广告推送

值得注意的是，Ghost Push病毒在推送广告的过程中，会首先关掉用户手机的WiFi连接，通过用户的手机流量来获取需要推送的广告内容，如图15中红色方框内容所示。在用户不知情、未得到允许的情况下盗用了大量的数据流量。

3.2 应用推送

Ghost Push病毒母体释放的Time Service、Monkey Test子包还会向用户推送应用并安装，如图17所示。病毒从e25K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2Q4x3X3g2m8c8f1c8j5c8q4u0o6b7W2)9J5k6f1y4a6e0g2)9J5c8X3N6U0N6X3W2W2N6#2)9J5c8X3q4H3K9g2)9J5c8U0V1I4x3q4!0q4z5q4)9^5c8g2!0n7y4#2!0q4y4g2)9^5c8W2)9&6y4W2!0q4z5g2)9&6b7#2)9^5x3q4!0q4z5q4!0m8y4W2)9^5x3g2!0q4y4W2)9^5c8g2!0m8z5q4!0q4y4g2!0n7z5g2!0n7c8W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2!0n7b7g2)9&6y4q4!0q4y4#2)9&6y4q4!0m8z5q4!0q4x3#2)9^5x3q4)9^5x3R3`.`.

图17获取需要推广的应用

返回的结果有不同的推广类型， 比如直接后台下载，快捷图标，弹通知栏等方式。如图18所示。

图18获取需要推广应用请求返回

比如以下返回直接后台下载的推广应用。病毒会在在后台下载完成后自动安装，如图19所示。

图19 后台安装应用

Ghost Push病毒中各种推广任务，会使用sqllite数据库作为中转，如图20所示。

图20 sqllite中转推广任务

在实际我们测试中, 可以看到以下的推广数据，如图21-24所示。

图21 后台推送应用日志文件

图22 安装应用

图23 推送应用提醒用户安装

图24 推送安装应用列表（测试机已装）

3.3无Root静默安装

为了进一步地保证成功地安装下载应用，病毒还会诱导用户开启辅助功能，如图24所示。之后如图25所示的代码，病毒通过辅助功能，模拟用户点击操作来成功地安装应用。并且图25左侧文件列表也显示出其可以适配不同系统市场（GooglePlayer、Lenovo、MIUI等）的安装方式。

图24 开启辅助功能

图25 通过辅助功能静默安装

0x04 解决方案与安全建议

---

4.1 解决方案

用户可以选择使用猎豹专杀工具f18K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3L8r3q4&6i4K6u0W2k6$3!0G2k6$3I4W2i4K6u0W2j5$3!0E0i4K6u0r3M7%4c8G2M7X3g2Q4x3V1k6S2M7s2m8K6i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9K6c8X3W2V1i4K6y4p5j5$3!0E0i4K6u0W2j5$3I4W2j5h3&6E0j5i4y4@1k6i4u0Q4x3X3g2K6k6h3y4#2M7X3W2@1P5g2)9J5k6i4y4@1N6h3u0T1L8%4u0F1N6s2u0B7K9$3W2D9L8r3g2J5（即将更新上线）或手动删除病毒软件。手动删除方法如下：

1. 使用刷机软件，一键获取ROOT权限。
2. 下载安装adb工具，6d7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3c8W2N6X3g2D9L8%4m8W2M7W2)9J5k6h3q4F1k6s2u0G2K9h3c8Q4x3X3g2U0L8$3#2Q4x3V1k6@1L8$3!0D9M7#2)9J5c8X3S2W2L8s2m8Q4x3V1k6S2k6r3u0Q4x3X3g2Z5N6r3#2D9。
3. 下载安装busybox工具，2baK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0#2M7%4W2T1L8%4S2Q4x3X3g2F1k6i4c8Q4x3V1j5`.。
4. 在电脑端，通过adb shell连接手机，使用su命令获取ROOT权限。
5. ps | grep .base #获取.base文件的pid kill pid

6. 删除恶意bin文件

   mount -o remount rw /system  #不同系统命令可能不同
   chattr –ia /system/xbin/.ext.base
   chattr –ia /system/xbin/.bat.base
   chattr –ia /system/xbin/.zip.base
   chattr –ia /system/xbin/.word.base
   chattr –ia /system/xbin/.look.base
   chattr –ia /system/xbin/.like.base
   chattr –ia /system/xbin/.view.base
   chattr –ia /system/xbin/.must.base
   chattr –ia /system/xbin/.team.base
   chattr –ia /system/xbin/.type.base
   chattr –ia /system/xbin/.b
   chattr –ia /system/xbin/.sys.apk
   chattr –ia /system/xbin/.df
   chattr –ia /system/bin/daemonuis 
   chattr –ia /system/bin/uis
   chattr –ia /system/bin/debuggerd
   chattr –ia /system/bin/nis
   chattr –ia /system/bin/daemonnis
   chattr –ia /system/bin/.daemon/nis
   chattr –ia /system/bin/uis
   chattr –ia /system/bin/.sr/nis
   chattr –ia /system/bin/mis
   chattr –ia /system/bin/daemonmis
   chattr –ia /system/bin/.daemon/mis
   chattr –ia /system/bin/.sc/mis        
   
   rm /system/xbin/.ext.base
   rm /system/xbin/.bat.base
   rm /system/xbin/.zip.base
   rm /system/xbin/.word.base
   rm /system/xbin/.look.base
   rm /system/xbin/.like.base
   rm /system/xbin/.view.base
   rm /system/xbin/.must.base
   rm /system/xbin/.team.base
   rm /system/xbin/.type.base
   rm /system/xbin/.b
   rm /system/xbin/.sys.apk
   rm /system/xbin/.df
   rm /system/bin/daemonuis 
   rm /system/bin/uis
   rm /system/bin/debuggerd
   rm /system/bin/nis
   rm /system/bin/daemonnis
   rm /system/bin/.daemon/nis
   rm /system/bin/uis
   rm /system/bin/.sr/nis
   rm /system/bin/mis
   rm /system/bin/daemonmis
   rm /system/bin/.daemon/mis
   rm /system/bin/.sc/mis
   cp /system/bin/debuggerd_test /system/bin/debuggerd
   

7. 使用猎豹安全大师清除恶意软件，无法清除的软件使用以下命令清除。

   chattr –ia /system/priv-app/cameraupdate.apk
   chattr –ia /system/priv-app/com.android.wp.net.log.apk
   rm -rf /data/data/com.android.camera.update
   rm -rf /data/data/com.android.wp.net.log
   rm  /systam/priv-app/cameraupdate.apk
   rm  /systam/priv-app/com.android.wp.net.log.apk
   

8. adb shell 
   cp /system/etc/install-revcovery.sh /sdcard/
   adb pull /sdcard/install-revcovery.sh
   adb push install-revcovery.sh /sdcard/
   cp /sdcard/install-revcovery.sh /system/etc/
   

9. 打开/system/etc/install-recovery.sh，将其中如下代码段注释或删除。

   /system/bin/daemonuis --auto-daemon &          
   
   #!/system/bin/sh
   /system/xbin/.ext.base &         
   
   #!/system/bin/sh
   /system/xbin/.ext.base &
   

4.2 安全建议

建议用户从正规应用市场下载应用，谨慎下载安装附件二中的应用。同时，安装猎豹安全大师，验证下载应用的合法性，对手机进行实时的安全监控。

0x05 总结

---

Ghost Push病毒通过广告SDK或浏览器广告进行大范围的传播，通过对病毒的跟踪分析，得知Ghost Push这类病毒软件伪装成合法的软件。用户一旦感染，恶意代码在开机时运行install-recovery，同时通过chattr + i命令防止用户通过杀毒软件建或手动卸载。恶意代码通过用户数据流量进行广告推送，并且在未经过用户允许的情况下静默下载安装应用，给众多安卓用户带来了不可避免的影响及危害。

本文在对病毒执行流程进行分析之后，提供了用户手动清除病毒的方法。最后，我们在对病毒来源进行分析之后发现病毒软件的大部分签名为C=CN/O=xinyinhe/OU=ngsteam/CN=ngsteam，来自于一家名为xinyinhe的公司。本着刨根问题的原则，我们也在附件三中对这家xinyinhe公司进行了全面的调查。

我们建议用户从正规渠道下载应用，并且安装猎豹安全大师，保证应用的合法性，实时维护用户的手机安全。

[附件一] 部分受感染机型列表

[附件二] 感染应用列表（39项）

[附件三] 深圳市新银河技术有限公司

直觉告诉我们，这家新银河技术有限公司和一键ROOT大师有着千丝万缕的联系。不要问我们直觉哪里来的~~

那么到底这两家公司有没有关系呢？我们首先百度、谷歌了一下新银河的官网，结果显示这家公司没有官网。于是——

我们上了拉钩招聘发现了该公司的链接。

从招聘信息上我们得知07cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3&6Y4k6h3#2G2j5W2)9J5k6h3y4G2L8b7`.`.和 38dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4u0G2L8%4c8Q4x3X3g2F1k6$3g2E0L8$3u0Q4x3X3g2U0L8$3@1`. 都是深圳市新银河技术有限公司的网站。

找到公司官网之后，真相逐渐浮出水面！！！现在的一键ROOT大师29dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8S2M7$3S2A6i4K6u0W2j5$3!0E0i4K6u0r3和 8fbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3&6Y4k6h3#2G2j5W2)9J5k6h3y4G2L8b7`.`.  使用过同一ip。

并且，国外的论坛上也经常出现一键ROOT大师和244K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4u0G2L8%4c8Q4x3X3g2F1k6$3g2E0L8$3u0Q4x3X3g2U0L8$3@1`.扯不清的关系

此外，我们还搜集了一些佐证。

佐证一：好搜百科。

佐证二：某锁屏APP，由深圳市新银河技术有限公司开发。

毕竟没有官网并没有给出任何明线表示两家公司的联系。我们也是推论猜测，没有任何结论，请各位看官自行判断。

最后，希望大家一起努力，相信猎豹，会给亿万用户筑起安全防护墙！！！

病毒的清除方法视频 ：