首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
Android安全
发新帖
3
0
[原创]色情应用暗藏杀机,宅男福利竟成“灾难降临”
发表于: 2016-8-31 20:22
5960
[原创]色情应用暗藏杀机,宅男福利竟成“灾难降临”
AVLTeam
2016-8-31 20:22
5960
8月14日凌晨,王宝强通过社交媒体发布离婚声明,消息一出即刻引爆社交圈。一夜之间,部分恶意开发者立即抓住机会,利用此次事件散播“xx抓奸视频”“宋x马x录像”等恶意链接,并悄然传播,极大地威胁着“吃瓜群众”的隐私和财产安全。
通过伪装成“色情视频”“美女写真”等所谓宅男福利以进行恶意传播的现象,在PC端已司空见惯。 按理说用户对这类老套的手法早就有较强的防范意识,但据安天AVL移动安全团队和猎豹移动安全实验室最新捕获的一个病毒发现,这种手法虽然老套,但是恶意攻击效果之显著,令人咋舌。
近期,安天AVL移动安全团队和猎豹移动安全实验室捕获一款名为SexTrap的病毒,该病毒潜伏在色情应用中,一旦用户下载并安装该色情应用,灾难将降临至用户手机中。SexTrap病毒一旦运行,将立即加载恶意子包私自提权以获取Root权限,利用手机最高权限将下载的核心推送模块推送到系统目录下并锁定,使用户难以察觉和卸载;然后私自联网获取推送数据,进一步向用户手机系统目录推送包含恶意扣费模块的恶意应用,并通过远程控制指令启动运行此类应用,给用户造成极大经济损失。
哪个省份的用户最容易中招?
SexTrap病毒自6月捕获至今,在国内大部分地区广泛传播。截止目前各个省份的感染情况如下图所示。从图中可以看出,广东省是病毒感染人数最多的省份,山东省紧跟其后,随后是北京市、河北省以及河南省。
病毒详细分析
病毒运行流程
SexTrap病毒运行流程可以分为三个部分:
Part1:通过母体程序加载调用恶意子包
携带SexTrap病毒的母体程序运行时加载libMwzgrqfvuo.so(每个母体内的so文件名称不同,以此为例)文件,通过so文件调用资源文件中名为“xme.png”实为apk程序的恶意子包。该程序通过类加载器反射调用恶意子包中com.dex.kit.MainClass类的startAction方法来启动恶意子包。
Part2:私自对用户手机提权,联网下载核心推送模块
a)恶意子包启动时联网上传用户手机型号等信息获取Root方案和下载地址,下载相应的提权文件并解密,利用Android漏洞对用户手机进行提权。
b)联网获取下载SexTrap病毒核心推送模块的下载地址和指令信息。该恶意程序通过二次联网下载核心推送模块,并将其静默安装并推送到系统目录下,最后执行网络指令启动该模块。
c)恶意子包读取并解析母体程序资源文件夹中的mcg.bak文件,获取恶意程序的下载地址和启动指令,联网下载恶意程序然后将其推送到系统目录下并通过指令启动。该恶意应用同样具有推送的功能。
Part3:下载、安装、运行、推送应用
核心推送模块启动后会不断联网获取推送数据并下载推送的apk,同时利用Root权限将其推送到系统目录下,然后静默安装,最后通过网络指令使用将其启动,对用户造成极大的资费损耗。
1.加载调用恶意子包
SexTrap病毒运行时加载so文件,加载资源文件中的恶意子包,通过类加载器反射调用com.dex.kit.MainClass类的startAction方法来启动恶意子包。
so文件反射调用恶意子包。
2.私自获取Root权限
恶意子包运行时会上传用户的手机信息,根据手机信息下载多种 Root方案包括“858”、“778”、“611”、“841”、“52”,根据Root方案对应的提权文件对用户手机进行提权,提权成功后删除提权文件。
下载提权文件网络截图:
提权后释放的工具文件:
3.下载安装核心模块
恶意子包在本地解密并获取核心模块的下载地址,进行下载。
上图是获取核心模块下载地址的抓包截图。获取的数据主要包含字段“sd”:通过am启动KitService服务来远程启动核心模块、“dl”:核心模块下载地址、“pn”:核心模块包名。
静默安装核心模块并通过上面获取的网络指令启动,同时将其推送到系统目录中并锁定。
同时恶意子包还会读取母体程序资源文件mcg.bak,下载同类推送恶意程序。下载后的文件是一个zip文件,其中包含要安装的应用和启动指令。
cfg文件中保存着远程服务器控制安装应用和启动应用的指令。
恶意子包下载的文件都会保存SD卡隐藏目录.work中。
4.推送恶意扣费应用
SexTrap病毒核心模块运行时会持续联网获取推送数据并保存在本地/data/data/<packagename>/shared_prefs/i_app_info.xml文件中。同时该病毒会将下载的恶意应用保存在SD卡Android/data/cache/tmp目录中,这些恶意应用被安装运行后会被删除。
下图为部分联网推送的数据信息:
保存在i_app_info.xml中的推送数据具体字段说明如下:
推送色情类的扣费App。
总结
SexTrap病毒通过潜伏在色情应用中传播,方法较老套但是传播效果极佳。一方面,该病毒将恶意子包伪装成后缀为“.png”的文件,在安装完推广应用之后立即删除安装包文件,这一系列操作都是为了躲避杀软的查杀,隐蔽性极强。另一方面,该病毒为增加提权操作的成功率,会上传感染用户的设备信息,以获取针对性的Root方案和提权工具,攻击手段难以防范。从该病毒以及之前播报过的病毒可以看出,新出现的病毒大多隐蔽性极强,同时对Root的依赖性较高,安天AVL移动安全团队特此提醒广大用户尽量不要Root手机,一旦发现手机在不知情下被Root时,要警惕是否感染了病毒并立即安装杀毒软件对病毒进行查杀。
安全建议
针对SexTrap系列病毒,AVL Inside系列集成合作方产品和猎豹专杀工具已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:
请使用绿色、健康的应用,并保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;
谨慎点击软件内推送的应用,不安装来源不清楚的应用;
不要轻易授权给不信任的软件Root权限;
如果您已经中了类似病毒,建议您使用Root工具将设备进行Root,使用杀毒软件及时查杀病毒。查杀完成后,如您不再使用Root,请务必使用Root工具取消Root,避免Root权限被滥用带来的设备安全问题。
安天AVL移动安全专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。2014年,猎豹与安天AVL移动安全团队达成引擎战略合作。
AVL Inside以全球最佳移动反病毒引擎为核心,专注于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前已与众多知名厂商达成战略合作,为猎豹、小米MIUI、阿里云YunOS、OPPO、努比亚、步步高、LBE、安卓清理大师、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。
更多技术文章,请关注AVL Team官方微信号
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
上传的附件:
1.jpg
(133.84kb,2次下载)
2.jpg
(46.72kb,13次下载)
3.jpg
(42.95kb,1次下载)
4.jpg
(158.25kb,2次下载)
5.jpg
(196.68kb,2次下载)
6.jpg
(53.13kb,1次下载)
7.jpg
(61.44kb,1次下载)
8.jpg
(120.25kb,1次下载)
9.jpg
(142.99kb,1次下载)
10.jpg
(30.37kb,1次下载)
11.jpg
(39.36kb,1次下载)
12.jpg
(60.08kb,1次下载)
13.jpg
(51.42kb,1次下载)
14.jpg
(265.07kb,1次下载)
15.jpg
(90.61kb,1次下载)
16.jpg
(233.69kb,1次下载)
17.jpg
(180.46kb,3次下载)
AVL team二维码.jpg
(70.36kb,1次下载)
收藏
・
3
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
5
)
无边
雪 币:
9479
活跃值:
(757)
能力值:
( LV2,RANK:10 )
在线值:
发帖
17
回帖
606
粉丝
3
关注
私信
无边
2
楼
没有Root授权是怎么Root的呢
2016-8-31 22:06
0
MsScotch
雪 币:
3245
活跃值:
(1906)
能力值:
( LV2,RANK:10 )
在线值:
发帖
3
回帖
339
粉丝
3
关注
私信
MsScotch
3
楼
这图不需要打马赛克。
我跟你学android 逆向吧。
2016-9-1 09:46
0
轩辕之风
雪 币:
2291
活跃值:
(938)
能力值:
( LV8,RANK:130 )
在线值:
发帖
34
回帖
322
粉丝
67
关注
私信
轩辕之风
1
4
楼
sex是人类的天性,这招用在种马上屡试不爽,管它什么PC互联网还是移动互联网还是AVR
2016-9-1 11:31
0
小王fa
雪 币:
3
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
1
回帖
12
粉丝
0
关注
私信
小王fa
5
楼
鸟为食亡 人为鸟死
2016-9-12 10:37
0
petersonhz
雪 币:
2375
活跃值:
(433)
能力值:
( LV2,RANK:10 )
在线值:
发帖
422
回帖
2433
粉丝
1
关注
私信
petersonhz
6
楼
建议把apk发上来,大家学习下啊
2016-11-2 17:13
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
AVLTeam
74
发帖
83
回帖
20
RANK
关注
私信
他的文章
[原创]Gaza Cybergang在移动端对阿拉伯语地区的攻击事件
5108
[原创]安全引擎安天造:超两成有效移动杀毒软件采用安天反病毒引擎
7047
[原创][分享]关于海莲花组织针对移动设备攻击的分析报告
6923
[原创]安天移动安全反病毒技术发展报告——安天移动恶意代码对抗的8年之路
10306
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
hwren
谁下载
×
coolspring
zhxiong
douglous
会员注册
fangliangz
inber
渧魂
asdfsadff
呆呆小猪
Simirror
mosida
雪下个不停
谁下载
×
谁下载
×
saykao
谁下载
×
极度幻想
谁下载
×
谁下载
×
谁下载
×
谁下载
×
谁下载
×
谁下载
×
谁下载
×
谁下载
×
谁下载
×
谁下载
×
谁下载
×
谁下载
×
极度幻想
hwren
谁下载
×
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部