-
-
[原创]提权广告件PermAd分析报告
-
发表于: 2015-4-8 10:39
-
近期,AVL移动安全团队在GooglePlay应用市场发现一款名为POPBIRD的游戏应用(现已下架),一旦安装,该应用就会立即弹出三只活泼可爱的小鸟图标,迅速调动用户启动该应用的欲望。
图1 应用图标
该应用打包了恶意提权广告件PermAd,该应用运行后立即弹出开始界面,在颜色绚丽的开启界面背后其实暗藏各种流氓性质的恶意行为。具体恶意行为如下:
>自动下载提权工具,提升应用权限。
>开机自启动。
>监控相关恶意子包应用,提升恶意子包权限。
>上传用户系统信息。
>恶意子包进行自我更新,推送第三方广告。
>防止被卸载。
图2 应用开启界面
一、 恶意代码整体运行流程
以下介绍恶意提权广告件PermAd的详细运行流程。
图3 PermAd的详细运行流程
该应用运行时会联网下载提权应用.perm.apk,.perm.apk被DexClassLoader加载执行后会释放多个文件并提升应用权限。以下列举被释放的文件及其信息:
被释放文件的运行流程如图4所示。
图4 被释放文件的运行流程及作用
二 提权模块执行流程
图5 提权模块执行流程
1 运行后,应用会联网访问http://****/RootsdkUpdate/Index,获取提权应用的最新地址,并下载保存在指定地址。
2 DexClassLoader .perm.apk后反射调用相关方法释放文件并提权。
3 执行提权回调命令:
写入命令进启动文件install-recovery.sh,达到开机启动的目的。
释放.dler.apk文件,更改权限,静默安装应用com.android.service.utc0
复制释放的文件到相关目录提升权限并执行.rt_daemon,进行后台监听。
图6 后台监听
创建一个线程监听,每3.6秒监听进程,若无com.android.service.utc0进程则读取并执行.exeam文件里的am命令启动com.android.service.utc0
4 执行/system/xbin/.rt_bridge写入am命令到/data/local/.exeam文件,添加包的MD5到/data/local/.bridge文件, Socket方式向.rt_daemon发送请求。
三 防卸载模块执行流程
.perm.apk释放.catr.apk(实际是ELF文件),运行锁定相关文件, 锁定文件后即便卸载应用后也不能删除。
使用lsattr指令可以查看该文件隐藏属性,相对其他文件多了ia两个参数,使之不能被删除:
四 释放的DownLoader子包执行流程
1 .rt_daemon am 方式执行com.android.service.utc0/com.example.demo10.WakeActivity
2 联网访问指定网址以获得DownLoadr应用最新地址,在测试中发现该DownLoader还在更新。
3 自我更新,并释放/files/.catr.apk,锁定文件,防止被删除。
4 访问特定网址获取广告列表,并进行广告推送。
五 总结及安全建议
该应用释放的子包能通过install¬-recovery.sh启动,在后台监听使子包一直处于运行状态,并通过chattr锁定自身/data/app中的应用,通过应用管理卸载后依旧存在,开机后通过.rt_daemon使用am命令启动,达到无法轻易被卸载的目的,只能通过先使用chattr解除权限再使用rm来完成删除。
此外,该应用还会删除su文件,导致之前Root过的手机都无法获取Root权限。
普通用户很难正常卸载此类恶意应用。因此,AVL移动安全团队建议大家在使用新安装应用前,安装并开启手机安全软件AVL Pro进行全面扫描,避免开启恶意应用,远离恶意应用威胁。
AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布一些移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:http://blog.avlyun.com/?p=2228
文章分享地址:
图1 应用图标
该应用打包了恶意提权广告件PermAd,该应用运行后立即弹出开始界面,在颜色绚丽的开启界面背后其实暗藏各种流氓性质的恶意行为。具体恶意行为如下:
>自动下载提权工具,提升应用权限。
>开机自启动。
>监控相关恶意子包应用,提升恶意子包权限。
>上传用户系统信息。
>恶意子包进行自我更新,推送第三方广告。
>防止被卸载。
图2 应用开启界面
一、 恶意代码整体运行流程
以下介绍恶意提权广告件PermAd的详细运行流程。
图3 PermAd的详细运行流程
该应用运行时会联网下载提权应用.perm.apk,.perm.apk被DexClassLoader加载执行后会释放多个文件并提升应用权限。以下列举被释放的文件及其信息:
被释放文件的运行流程如图4所示。
图4 被释放文件的运行流程及作用
二 提权模块执行流程
图5 提权模块执行流程
1 运行后,应用会联网访问http://****/RootsdkUpdate/Index,获取提权应用的最新地址,并下载保存在指定地址。
2 DexClassLoader .perm.apk后反射调用相关方法释放文件并提权。
3 执行提权回调命令:
写入命令进启动文件install-recovery.sh,达到开机启动的目的。
释放.dler.apk文件,更改权限,静默安装应用com.android.service.utc0
复制释放的文件到相关目录提升权限并执行.rt_daemon,进行后台监听。
图6 后台监听
创建一个线程监听,每3.6秒监听进程,若无com.android.service.utc0进程则读取并执行.exeam文件里的am命令启动com.android.service.utc0
4 执行/system/xbin/.rt_bridge写入am命令到/data/local/.exeam文件,添加包的MD5到/data/local/.bridge文件, Socket方式向.rt_daemon发送请求。
三 防卸载模块执行流程
.perm.apk释放.catr.apk(实际是ELF文件),运行锁定相关文件, 锁定文件后即便卸载应用后也不能删除。
使用lsattr指令可以查看该文件隐藏属性,相对其他文件多了ia两个参数,使之不能被删除:
四 释放的DownLoader子包执行流程
1 .rt_daemon am 方式执行com.android.service.utc0/com.example.demo10.WakeActivity
2 联网访问指定网址以获得DownLoadr应用最新地址,在测试中发现该DownLoader还在更新。
3 自我更新,并释放/files/.catr.apk,锁定文件,防止被删除。
4 访问特定网址获取广告列表,并进行广告推送。
五 总结及安全建议
该应用释放的子包能通过install¬-recovery.sh启动,在后台监听使子包一直处于运行状态,并通过chattr锁定自身/data/app中的应用,通过应用管理卸载后依旧存在,开机后通过.rt_daemon使用am命令启动,达到无法轻易被卸载的目的,只能通过先使用chattr解除权限再使用rm来完成删除。
此外,该应用还会删除su文件,导致之前Root过的手机都无法获取Root权限。
普通用户很难正常卸载此类恶意应用。因此,AVL移动安全团队建议大家在使用新安装应用前,安装并开启手机安全软件AVL Pro进行全面扫描,避免开启恶意应用,远离恶意应用威胁。
AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布一些移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:http://blog.avlyun.com/?p=2228
文章分享地址:
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
