《我的世界》是一款自由度极高的沙盒游戏,自2009年上线以来,一直备受网友追捧。但是,近期AVL移动安全团队截获一款仿冒《我的世界》游戏下载器的恶意软件,经过分析发现该恶意软件有如下行为特征:
1 通过篡改知名游戏《我的世界》下载器进行肆意传播
2 该恶意软件执行后会执行so文件解密释放恶意文件
3 私自获取用户手机root权限
4 静默安装应用到系统目录下,严重威胁用户手机系统安全
5 推送其他恶意应用
6 推送广告,影响用户操作体验
7 为躲避杀毒软件的查杀,将恶意子程序不同的模块分层隐藏到资源文件和ELF文件中
一、恶意代码行为说明
经过AVL移动安全团队对代码的详细分析,该恶意应用的运行流程如下图所示:
说明:
1 该应用运行时会加载skin.so文件,解密释放运行恶意子包cE.zip,并通过cE.zip继续释放运行子程序fp.dex和fx.dex。
2 fp.dex运行后会静默下载提权功能模块,获取用户手机root权限,在后台私自下载应用程序,静默安装到系统目录下。
3 fx.dex运行后会弹出虚假的漏洞修复窗口,诱导用户下载恶意应用,当用户安装运行恶意应用后会隐藏图标,请求激活设备管理器并私自下载应用推送广告。
二.恶意代码详细分析
1 动态现象
该恶意程序运行后会弹出虚假的漏洞修复窗口,诱导用户点击下载恶意应用,用户点击安装运行后会请求激活设备管理器。
2 静态分析
2.1 解密释放恶意子程序
在主程序的入口处加载skin.so文件,解密释放子程序cE.zip并加载运行。
在子程序cE.zip当中会继续读取资源文件解密释放fx.jar,fp.jar子程序。
释放的文件包结构分别为fp.jar,fx.jar
2.2 私自下载提权功能模块主程序在运行时还会加载运行fp.dex,私自下载包含提权功能的right_core.apk。
运行时通过http://cdn.52ruian.com/z/right_core.apk联网下载后,将文件解密并进行初始化。
从远程服务器下载提权模块right_core.jar解密后的包结构如下图:
2.3 获取Root权限,私自下载安装其他恶意应用
right_core.jar被加载运行后通过资源文件support.bmp解密释放出support的ELF文件,并调用“native_init”方法来释放提权工具。
释放的文件截图如下:
运行时生成psneuter.script脚本文件,将释放的root相关文件重定向到相关的系统目录。
获得root权限后,通过联网私自下载恶意app。将下载的app通过脚本静默安装到系统目录下。
2.4 弹出虚假的漏洞修复提示框,诱导用户下载恶意应用
加载fx.dex运行时,程序会以广告形式弹出提示漏洞修复的弹窗(实则为一张图片),用户点击后会自动下载恶意应用。
通过http://efget.hmapi.com:10091/fgetad.do 联网获取恶意app的下载地址和弹窗图片。
联网的抓包截图如下:
下载的恶意程序使用了360加固技术,右边为脱壳后的包结构。该程序已经被我们的杀毒引擎检出为:G-Ware/Android.Fakegupdt.f。
2.5 隐藏图标,激活设备管理器,私自下载应用
用户点击自动下载的恶意应用后,恶意应用会隐藏程序图标,并请求激活设备管理器。
启动服务DuService,从本地数据库中获取数据下载广告推广的应用。
2.6 躲避杀毒软件查杀
该恶意程序将恶意子程序不同的模块分层隐藏到资源文件和ELF文件中,对杀毒软件的检测造成了一定的难度。
三.安全建议
经过安全研究人员分析,该恶意软件会获取用户手机Root权限,静默安装应用到系统目录下,对手机系统可能造成严重影响,并可能会不断推送其他恶意应用和各种广告,影响手机正常使用。因此,AVL移动安全团队建议大家尽快下载安装AVL Pro对该类木马进行检测和查杀,同时提醒用户应到官方站点或可信任的应用市场下载手机软件,不随意下载插件,以避免受到恶意软件的危害。
AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam,我们会定期发布移动安全相关资讯,希望能够对您有所帮助。 转载请注明来源:http://blog.avlyun.com/?p=2697
扫一扫关注AVLTeam微信公众号,获取更多安全资讯:
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)