首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
看雪社区
Android安全
发新帖
1
0
[原创]PoisonCake In the ROM
2014-12-27 20:34
6968
[原创]PoisonCake In the ROM
AVLTeam
2014-12-27 20:34
6968
AVL移动安全团队近日联合LBE发现一款内置于ROM的恶意代码模块。由于该恶意代码作者将此恶意模块运行释放的模块称为“Cake”,所以我们将其命名为“PoisonCake”。
在分析过程中,我们还发现该恶意代码中存在明显的恶意代码作者身份标识tjj,ruanxiaozhen,并且其最后编译时间为2014年8月26日10点20分。
该恶意模块恶意行为特点如下:
PoisonCake可以单独运行,解密释放相关主体功能模块,在后台监控自身进程并执行以下恶意行为:
1. 注入Phone进程,拦截短信和发送短信。
2. 实现短信和WAP扣费。
3. 窃取手机信息,并上传至远程服务器。
4. 后台联网下载文件。
5. 能够进行自我更新。
经分析,我们发现该恶意模块的恶意行为与“长老木马三代”较为相似,但是在实现方式上有较大差异。下面将对恶意模块PoisonCake进行详细的分析。
一、PoisonCake运行机制
PoisonCake运行时,会将自身移植到一个隐藏目录/data/.3q下,并在后台监控自身进程运行状态,防止自身进程被终止。
同时它在执行过程中会创建多个目录和文件,主要有:
/data/.3q/dm
/data/usr(目录)
/data/usr/dalvik-cache(目录)
/data/usr/plugins(目录)
/data/.l1
/data/.l6
/data/.l9
/mnt/sdcard/sysv/lv
/mnt/sdcard/sysv/lg1
PoisonCake的主体模块分为reactore.dex.jar核心框架和8个插件模块,其中插件模块主要提供了恶意扣费、联网上传下载、获取手机信息等功能,并且能够注入系统Phone进程,执行短信的监听和发送,以及联网控制。
其整体运行框架如下所示:
二、dm模块
dm模块是PoisonCake的运行核心,主要完成恶意代码的初始化,恶意模块reactor.dex.jar的释放和运行,并后台监控自身进程是否存在,同时还将关键的字符串信息进行加密。
1. 恶意代码初始化
dm模块接受“--setup”参数完成初始化行为:
1)解密关键的字符串信息为字符串数组。
2)判断/data/.dmtjjexit是否存在,若存在,则进程退出。
3)设置进程环境变量,并将进程名称改为jworker/0I:2H:1J。
4)将自身拷贝到/data/.3q/dm,并创建/data/usr目录,然后删除自身。
5)fork自身并退出,子进程执行/data/.3q/dm,由其完成余下工作。
2. 后台监控
dm模块采用了文件锁和线程的方式,能持续监控自身进程保持后台运行。dm运行时后台有两个进程,如下图所示。
创建子线程,不断循环创建自身子进程的行为,并且利用文件锁,保证建立的子进程在父进程存在的时候阻塞:
当kill掉父进程或子进程中任意一个时,其会再创建一个新的进程。
3. reactor.dex.jar解密释放和运行
最后dm进程会从自身文件中解密释放reactor.dex.jar至/data/usr:
dm随后将释放的reactore.dex.jar加载运行,其利用libdvm.so中的JNI_CreateJavaVM运行jar,其参数列表为
--Djava.class.path=/data/usr/reactore.dex.jar -Djava.compiler=NONE -verbose:jni
然后注册native函数getGirls,最后执行com/tj/Main的main方法。
4. getGirls方法
dm还同时为reactore.dex.jar提供native方法实现,其接受两个参数,作用为解密指定jar文件到指定路径。
三、reactore.dex.jar模块
reactore.dex.jar是由一个负责初始化环境、循环遍历执行事件和命令的框架模块和数个插件模块组成,其将功能模块实现分成四个主要类别:
1)基础设施Infrastructor。
2)业务仓库Repository。
3)服务Service,负责后台执行相关功能。
4)组件Component。
其整体执行逻辑流程如下图:
四、插件模块
reactore.dex.jar内置默认了8个插件模块,每个插件分别执行不同的行为:
表1 插件名称及其作用
以下对重点的插件模块分别进行分析。
1)bean模块
bean模块主要完成对phone进程的注入,监听本地10023端口,获取手机号码、imsi、imei、apn、联网等信息,并实现短信发送与拦截、联网方式的控制。
其首先释放可执行模块whitebean和待注入的libblackbean.so、redbean.dex.jar,然后依次执行以下命令完成注入:
a. whitebean --check libblackbean.so
检测运行环境,这里主要检查android::AndroidRuntime::mJavaVM和android::AndroidRuntime::getRuntime的获取。
b. whitebean com.android.phone libblackbean.so readbean.dex.jar cache Release /data/usr/server.log
其将libblackbean.so和readbean.dex.jar注入到phone进程中,并执行com.android.phone.os.Program类。
完成后删除自身。
在注入完成后,会监听10023端口接受请求,此时由于具备Phone进程权限,所以可以进行短信拦截发送,APN网络管理及获取手机号码、数据连接等相关信息。
2)honeybee模块
honeybee模块主要会记录运行日志信息,以AES加密形式存放至/data/usr/honey文件,并且上传至远程服务器http://slasty.hada1billi.info/honeycomb/ums/postEvent。
honey文件的解密结果如下所示:
3)sun模块
sun模块主要提供网络连接功能,并与远程服务器建立Heartbeat连接,其连接url为http://ubaj.tndmnsha.com/throne。
五、总结
PoisonCake是一个非常完善的后门程序,其实现具备良好的架构特点,并且易于扩展,其在运行过程中会迅速删除自身释放的模块,所有在手机上存放的文件均为加密形态。其执行较为隐蔽,并且难以被发现和查杀。
AVL移动安全团队分析师指出,用户可以执行"ps dm"命令查看是否存在恶意代码进程,或者检查是否存在/data/.3q/dm、/data/usr目录来判断是否感染PoisonCake木马。同时用户还可以通过下载PoisonCake专杀工具进行检测和查杀该木马。
由AVL移动安全团队推出PoisonCake专杀工具新鲜出炉啦~
工具下载地址:
https://update.avlyun.com/AvlPro/PoisonCakeKiller.apk
转载请注明来源:
http://blog.avlyun.com/?p=1932
文章分享地址:
[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
上传的附件:
1.jpg
(36.00kb,8次下载)
23.png
(55.93kb,2次下载)
4.jpg
(27.41kb,1次下载)
5.jpg
(48.15kb,1次下载)
6.jpg
(85.53kb,1次下载)
7 (1).jpg
(24.40kb,6次下载)
8.jpg
(153.39kb,5次下载)
9.jpg
(32.78kb,5次下载)
10.jpg
(36.88kb,5次下载)
11.jpg
(306.88kb,5次下载)
12.jpg
(84.08kb,2次下载)
微信二维码.jpg
(26.92kb,1次下载)
收藏
・
1
点赞
・
0
打赏
分享
分享到微信
分享到QQ
分享到微博
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
2
)
JackJoker
雪 币:
188
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
2
回帖
415
粉丝
0
关注
私信
JackJoker
2014-12-27 20:57
2
楼
0
高大上的恶意代码啊。
Dstlemoner
雪 币:
292
活跃值:
(153)
能力值:
( LV3,RANK:30 )
在线值:
发帖
28
回帖
857
粉丝
4
关注
私信
Dstlemoner
2014-12-27 20:58
3
楼
0
唉。。换回翻盖手机。。
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
AVLTeam
76
发帖
47
回帖
20
RANK
关注
私信
他的文章
[原创]Gaza Cybergang在移动端对阿拉伯语地区的攻击事件
4480
[原创]安全引擎安天造:超两成有效移动杀毒软件采用安天反病毒引擎
6330
[原创][分享]关于海莲花组织针对移动设备攻击的分析报告
6221
[原创]安天移动安全反病毒技术发展报告——安天移动恶意代码对抗的8年之路
9410
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
网络幽灵
superming
过客guoke
AVLTeam
谁下载
×
mrghappy
谁下载
×
谁下载
×
谁下载
×
谁下载
×
过客guoke
AVLTeam
谁下载
×
过客guoke
谁下载
×
过客guoke
谁下载
×
过客guoke
谁下载
×
过客guoke
谁下载
×
mrghappy
谁下载
×
看原图
返回
顶部