8月14日凌晨,王宝强通过社交媒体发布离婚声明,消息一出即刻引爆社交圈。一夜之间,部分恶意开发者立即抓住机会,利用此次事件散播“xx抓奸视频”“宋x马x录像”等恶意链接,并悄然传播,极大地威胁着“吃瓜群众”的隐私和财产安全。
通过伪装成“色情视频”“美女写真”等所谓宅男福利以进行恶意传播的现象,在PC端已司空见惯。 按理说用户对这类老套的手法早就有较强的防范意识,但据安天AVL移动安全团队和猎豹移动安全实验室最新捕获的一个病毒发现,这种手法虽然老套,但是恶意攻击效果之显著,令人咋舌。
近期,安天AVL移动安全团队和猎豹移动安全实验室捕获一款名为SexTrap的病毒,该病毒潜伏在色情应用中,一旦用户下载并安装该色情应用,灾难将降临至用户手机中。SexTrap病毒一旦运行,将立即加载恶意子包私自提权以获取Root权限,利用手机最高权限将下载的核心推送模块推送到系统目录下并锁定,使用户难以察觉和卸载;然后私自联网获取推送数据,进一步向用户手机系统目录推送包含恶意扣费模块的恶意应用,并通过远程控制指令启动运行此类应用,给用户造成极大经济损失。
哪个省份的用户最容易中招?
SexTrap病毒自6月捕获至今,在国内大部分地区广泛传播。截止目前各个省份的感染情况如下图所示。从图中可以看出,广东省是病毒感染人数最多的省份,山东省紧跟其后,随后是北京市、河北省以及河南省。
病毒详细分析
病毒运行流程
SexTrap病毒运行流程可以分为三个部分:
Part1:通过母体程序加载调用恶意子包
携带SexTrap病毒的母体程序运行时加载libMwzgrqfvuo.so(每个母体内的so文件名称不同,以此为例)文件,通过so文件调用资源文件中名为“xme.png”实为apk程序的恶意子包。该程序通过类加载器反射调用恶意子包中com.dex.kit.MainClass类的startAction方法来启动恶意子包。
Part2:私自对用户手机提权,联网下载核心推送模块
a) 恶意子包启动时联网上传用户手机型号等信息获取Root方案和下载地址,下载相应的提权文件并解密,利用Android漏洞对用户手机进行提权。
b) 联网获取下载SexTrap病毒核心推送模块的下载地址和指令信息。该恶意程序通过二次联网下载核心推送模块,并将其静默安装并推送到系统目录下,最后执行网络指令启动该模块。
c) 恶意子包读取并解析母体程序资源文件夹中的mcg.bak文件,获取恶意程序的下载地址和启动指令,联网下载恶意程序然后将其推送到系统目录下并通过指令启动。该恶意应用同样具有推送的功能。
Part3:下载、安装、运行、推送应用
核心推送模块启动后会不断联网获取推送数据并下载推送的apk,同时利用Root权限将其推送到系统目录下,然后静默安装,最后通过网络指令使用将其启动,对用户造成极大的资费损耗。
1.加载调用恶意子包
SexTrap病毒运行时加载so文件,加载资源文件中的恶意子包,通过类加载器反射调用com.dex.kit.MainClass类的startAction方法来启动恶意子包。
so文件反射调用恶意子包。
2.私自获取Root权限
恶意子包运行时会上传用户的手机信息,根据手机信息下载多种 Root方案包括“858”、“778”、“611”、“841”、“52”,根据Root方案对应的提权文件对用户手机进行提权,提权成功后删除提权文件。
下载提权文件网络截图:
提权后释放的工具文件。
3.下载安装核心模块
恶意子包在本地解密并获取核心模块的下载地址,进行下载。
上图是获取核心模块下载地址的抓包截图。获取的数据主要包含字段“sd”:通过am启动KitService服务来远程启动核心模块、“dl”:核心模块下载地址、“pn”:核心模块包名。
静默安装核心模块并通过上面获取的网络指令启动,同时将其推送到系统目录中并锁定。
同时恶意子包还会读取母体程序资源文件mcg.bak,下载同类推送恶意程序。下载后的文件是一个zip文件,其中包含要安装的应用和启动指令。
cfg文件中保存着远程服务器控制安装应用和启动应用的指令。
恶意子包下载的文件都会保存SD卡隐藏目录.work中。
4.推送恶意扣费应用
SexTrap病毒核心模块运行时会持续联网获取推送数据并保存在本地/data/data/<packagename>/shared_prefs/i_app_info.xml文件中。同时该病毒会将下载的恶意应用保存在SD卡Android/data/cache/tmp目录中,这些恶意应用被安装运行后会被删除。
下图为部分联网推送的数据信息:
保存在i_app_info.xml中的推送数据具体字段说明如下:
推送色情类的扣费App。
总结
SexTrap病毒通过潜伏在色情应用中传播,方法较老套但是传播效果极佳。一方面,该病毒将恶意子包伪装成后缀为“.png”的文件,在安装完推广应用之后立即删除安装包文件,这一系列操作都是为了躲避杀软的查杀,隐蔽性极强。另一方面,该病毒为增加提权操作的成功率,会上传感染用户的设备信息,以获取针对性的Root方案和提权工具,攻击手段难以防范。从该病毒以及之前播报过的病毒可以看出,新出现的病毒大多隐蔽性极强,同时对Root的依赖性较高,安天AVL移动安全团队特此提醒广大用户尽量不要Root手机,一旦发现手机在不知情下被Root时,要警惕是否感染了病毒并立即安装杀毒软件对病毒进行查杀。
安全建议
针对SexTrap系列病毒,AVL Inside系列集成合作方产品和猎豹专杀工具已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:
l 请使用绿色、健康的应用,并保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;
l 谨慎点击软件内推送的应用,不安装来源不清楚的应用;
l 不要轻易授权给不信任的软件Root权限;
l 如果您已经中了类似病毒,建议您使用Root工具将设备进行Root,使用杀毒软件及时查杀病毒。查杀完成后,如您不再使用Root,请务必使用Root工具取消Root,避免Root权限被滥用带来的设备安全问题。
安天AVL移动安全专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。2014年,猎豹与安天AVL移动安全团队达成引擎战略合作。
AVL Inside以全球最佳移动反病毒引擎为核心,专注于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前已与众多知名厂商达成战略合作,为猎豹、小米MIUI、阿里云YunOS、OPPO、努比亚、步步高、LBE、安卓清理大师、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。
更多技术文章,请关注AVL Team官方微信号