魔波广告恶意病毒简析

1.病毒介绍

该病毒通过仿冒浏览器,播放器和一些游戏等进行传播,一旦用户手机不慎被感染,该病毒将立即下载提权文件来获取root权限,频繁推送广告,监控用户短信记录,私自发送扣费短信,注入大量恶意文件到手机系统用于守护病毒,防止病毒被卸载。

病毒样本的下载来源大多是来自国外的云服务器如cloudfront.net和amazonaws.com,软件名通常为全英文如WatermelonShare、Calc Master等,推送的广告内容以及下载的软件也都是国外软件,以此推测此病毒的目标应该是国外用户;从病毒功能及代码注释信息上看,此病毒是国内制造的,因此推测此病毒是国内制造,国外流行的典型广告木马,我们根据感染量较大的一个样本中的一些线索推测木马作者可能是在福建福州,一家从事app市场的公司。

病毒感染量变化趋势:

2.样本信息

包名: com.mobo.mrclean

证书: 1D90BFFEC2A26B6CC50151757CBCEE04

Assets目录下的子包

3.恶意行为

1) 病毒运行后,立即下载提权文件来获取root权限,夺取系统的控制权;

2) 注入大量恶意文件到手机系统,阻止病毒被卸载;

3) 私自发送扣费短信,造成用户极大的财产损失;

4) 下载并静默安装恶意子包至手机rom内;

5) 频繁推送恶意广告,影响用户正常使用手机;

4.病毒执行流程

5.详细分析

1) 病毒母包行为

加载子包assets/a

调用in1方法解码assets/c,assets/s,生成mcr.apk和libdt.so

调用in2方法加载libdt.so

libdt.so中通过in3方法了mcr.apk

libdt.so的in4方法通过loadClass方式调用了mcr.apk的com.android.provider.power.Power类中的init方法

com.android.provider.power.Power类中的init方法

initcore方法中通过getIsFirst方法判断程序是否第一次被运行

若是首次运行则调用Door.init(context);方法初始化配置并启动服务b和服务d,激活广告功能

服务b,启动线程DetectAppTask并通过timerSet定时持续发送广播

检测包名通过之后,线程DetectAppTask发送弹窗广播Action"com.fpt.alk.clk"

广播接收器通过接收广播弹出广告

服务d启动诱导消费模块

通过startservice方式启动服务c

启动计费服务,创建线程GasLogicRun

启动线程GasLogicRun,调用handlerRet方法发送短信

handlerRet方法解析JSONObject获取相关的计费信息并发送短信进行扣费

拦截含有指定关键字的短信

扣费成功后向服务器上传信息

DataStore类用于操作存放屏蔽关键词的数据库fmoonStore.db

Cpsavd类用于监控短信变化

2) Root相关模块

Root启动模块子包com.xx.mas.demo,判断root方案文件是否存在,若存在则加载进行root,若不存在则创建生成再进行root

/data/data/包名/files/.sunny目录下的b.png解压后为r1~r4,分别是四种root方案,利用了CVE-2012-6442、WooYun-2013-21778、CVE-2013-6282等漏洞来进行root提权。

 3) 其他恶意文件功能简要说明

elf文件.ukd,注入恶意文件至手机系统中

如下注入恶意文件到/system/xbin/.pr.io

Elf文件.pr.io用于守护包名为com.music.store.fore.go的恶意apk并与服务器交互信息

elf文件.pe用于保护root权限;

elf文件supolicy

用于在init.rc和install-recovery.sh中添加恶意文件开机启动

修改后的install-recovery.sh

mkdevsh文件

将恶意文件注入系统中并修改权限

.debuggerd.no注入恶意文件至系统中并设置守护线程

.ir文件用于设置守护线程

4) rom恶意apk子包分析

用户量情况

B90A7FCB2019BB59799646F77746FAEF11EECE37

启动后加载资源子包\assets\is.png,主要用于广告的统计与服务器的交互,也有私自下载静默安装的风险

29E9B1F1285D73612C751ACF3D755A99B31F3509

EF28DE725D2AF36E7BE5E063ADF6D1DF358AE95D

32486B0757215FC94684D85762C836007A6811D0

E6E87065821C5FDEC3F5C1CF6C2A1736B0AC1B8B

A715A1A36DF454C2DCC242D5884DF40150670574

启动后解密并加载资源子包\res\raw\protect.apk,用于唤醒病毒主模块进程,并私自下载安装其他软件

私自下载安装其他软件

5) 样本相关链接:

推广信息图片:

http://d3********iyhtno.cloudfront.net/pic/pic1.jpg

Root模块:

http://down.c*****xa.com/b****okr/rtt_0310_577.apk

http://down.c******xa.com/testapk/is1010_1154.jar

Rom内恶意子包netalpha:

http://down.co****n.com/o****in/mains2.apk

6.查杀截图

7.清除方案

要将此病毒彻底清除需要清理系统中的恶意文件:

时间: 2024-12-15 19:51:30

魔波广告恶意病毒简析的相关文章

魔绑广告病毒感染量提升 ROOT控制手机并下载其他病毒

近期,基于腾讯手机管家产品服务的腾讯移动安全实验室/反诈骗实验室监控到一款广告病毒的感染量有所提升,该病毒通过重打包将恶意代码嵌入到一些正规应用中,并通过一些广告渠道推广到用户手机,一旦进去用户手机后该病毒会尝试ROOT完全控制用户手机,并不停的弹出一些影响用户的体验的骚扰广告.值得注意的是,魔绑恶意广告病毒还会尝试下载地狱火和伏地虫等恶名昭彰的ROOT病毒,对用户手机安全造成严重威胁. 一.魔绑恶意广告病毒功能模块示意图 1.相关文件下载和功能 2.功能执行流程 二.详细分析 1.相比正常软件

XMR恶意挖矿案例简析

前言 数字货币因其技术去中性化和经济价值等属性,逐渐成为大众关注的焦点,同时通过恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径.本文简析通过蜜罐获取的XMR恶意挖矿事件:攻击者通过爆破SSH获取系统权限,配置root用户免密登录,并下载及执行XMR 挖矿程序,及XMR 网页挖矿程序.XMR挖矿程序耗肉鸡CPU/GPU资源,网页挖矿程序耗访问肉鸡服务器JS 网页的客户端资源 . 2018年10月11日,攻击者使用恶意IP(223.89.72.8)暴力破解Victim的SSH服务成功,获取系统账

仿冒公检法手机诈骗简析

1 电话诈骗中的半壁江山: 仿冒公检法诈骗 电信诈骗,让人不胜其害.也让人不堪其扰,在受害者中有人倾家荡产,也有人家破人亡.2015年,全国电信诈骗发案59.9万起,被骗走222亿元,这两个数字触目惊心. 而根据腾讯移动安全/反诈骗实验室的数据显示电话诈骗损失中高达57.39%案件都是仿冒公检法诈骗,可以说仿冒公检法类是目前电话诈骗中最大的毒瘤. 2 仿冒公检法诈骗案情回顾 这个案例中诈骗骗子的诈骗套路分为以下几个步骤: 第一步:骗取信任. 骗子通过网络购买的受害者个人信息,例如身份证号.住址等

经验模态分解法简析 (转)

http://blog.sina.com.cn/s/blog_55954cfb0102e9y2.html 美国工程院士黄锷博士于1998年提出的一种信号分析方法:重点是黄博士的具有创新性的经验模态分解(Empirical Mode Decomposition)即EMD法,它是一种自适应的数据处理或挖掘方法,非常适合非线性,非平稳时间序列的处理,本质上是对数据序列或信号的平稳化处理. 1:关于时间序列平稳性的一般理解: 所谓时间序列的平稳性,一般指宽平稳,即时间序列的均值和方差为与时间无关的常数,

2017年Q1安卓ROOT类恶意病毒发展趋势研究报告

摘要 1.移动互联网黑产持续性攻击的核武器,用户设备沦陷的最后防线 Android平台作为目前最流行的流量平台,由于它的开源使得大量的厂商加入其阵营,作为当前最大的流量来源,安卓平台是黑产分子眼中的香饽饽,各种恶意应用和手机病毒纷至而来. 由于安卓系统先天就存在的一些限制,习惯了PC时代为所欲为的黑产分子为了绕过Android平台的安全机制以及与手机杀毒软件的对抗,病毒开发者需要获取手机等设备的最高权限以"王"的身份来发号施令.恶意广告弹框一天几十个保底,恶意应用装个一打,恶意短信扣费

web应用构架LAMT及tomcat负载简析

Httpd    (mod_jk.so) workers.properties文件 uriworkermap.properties文件 <--AJP1.3--> Tomcat  --> jdk 大致流程:apache服务器通过mod_jk.so 模块处理jsp文件的动态请求.通过tomcat worker等待执行servlet/JSP的tomcat实例.使用 AJP1.3协议与tomcat通信.tomcat有借助jdk解析. 负载就是 多台tomcat.共同解析apache发送的jsp请

CentOS的网络配置简析

我们在进行对CentOS的网络配置时,一般会从IP地址(IPADDR).子网掩码(NETMASK).网关(Gateway).主机名(HOSTNAME).DNS服务器等方面入手.而在CentOS中,又有着不同的命令或配置文件可以完成这些配置操作,接下来,我们将从ifcfg系命令,iproute2系命令以及配置文件3个方面来简析网络配置的方法. 一.ifcfg系命令 ifcfg系命令包括ifconfig,route,netstat和hostname. 1.ifconfig命令 用来配置一个网络接口.

JDK源码简析--java.lang包中的基础类库

题记 JDK,Java Development Kit. 我们必须先认识到,JDK只是,仅仅是一套Java基础类库而已,是Sun公司开发的基础类库,仅此而已,JDK本身和我们自行书写总结的类库,从技术含量来说,还是在一个层级上,它们都是需要被编译成字节码,在JRE中运行的,JDK编译后的结果就是jre/lib下得rt.jar,我们学习使用它的目的是加深对Java的理解,提高我们的Java编码水平. 本系列所有文章基于的JDK版本都是1.7.16. 本节内容 在本节中,简析java.lang包所包

Java Annotation 及几个常用开源项目注解原理简析

PDF 版: Java Annotation.pdf, PPT 版:Java Annotation.pptx, Keynote 版:Java Annotation.key 一.Annotation 示例 Override Annotation Java 1 2 3 @Override public void onCreate(Bundle savedInstanceState); Retrofit Annotation Java 1 2 3 @GET("/users/{username}&quo