手电筒惊现海量root病毒:私自扣费、强装病毒、恶意弹窗

手电筒惊现海量root病毒:私自扣费、强装病毒、恶意弹窗

近期出现的手电筒root病毒,一旦在手机上成功安装后,即会通过私自发送扣费短信订制包月业务,造成用户话费损失,并注入大量恶意elf文件至手机system目录,危害用户手机系统安全。此外,此类病毒还会私自下载并安装大量恶意软件和推广软件到用户手机系统、匿名弹出大量恶意广告,从而造成资费消耗并影响用户正常使用手机。

1.用户量情况

根据特征共找到575个样本;

Rom内周用户量:2441

Rom外周用户量:9736

Rom内用户量最高的样本:313

Rom外用户量最高的样本:5572

2.恶意行为

1)私自发送短信

部分私自发送的短信相关信息

2)恶意广告

在手机桌面弹出恶意弹窗广告

在手机桌面生成恶意广告桌面快捷方式

在手机桌面生成banner广告

通知栏推送大量广告

3)注入elf文件至手机/system/xbin与/system/bin,/system/lib目录

4)静默安装大量软件在手机rom内

4.病毒执行流程

流程图:

1)私自发送扣费短信行为简析

软件启动后解密assets目录下的文件cj.jar生成cj.dex

并调用com.yhmm.pdh.ExternalMain类中的getInstance方法进行初始化,并通过此模块监听拦截用户的短信

发送扣费短信

通过网络获取扣费信息内容

通过\lib\armeabi\libdlctqdi.so加载其他模块

2)恶意广告及私自下载推广软件模块简析

加密dex文件assets/res.zip被解密后存放在/data/data/com.adm.fran.lights/app_cache/res.zip

Dex文件包含打了的加密字符串,对其字符串进行解密,可以看出此文件用于获取广告。

通过对字符串解密可以看到广告信息,私自下载的推广软件来自域名http://dws.m***appservice.net及sdk.**76.com

广告信息存放在/data/data/包名目录下的数据库OcSDK_statistics_prom:

3)私自下载安装恶意软件至rom内行为简析

下载的root模块文件/data/data/com.adm.fran.lights/files/46e62f5d8ae276548888328caa74ff70/9aeb9e7c-f785-40a2-b060-6df66e7274bd.zip在root流程结束后判断是否root成功

安装恶意软件至手机/system/priv-app/目录

4)注入恶意文件至system目录

病毒root后,wsroot.sh中注入并调用athima文件

athima中注入恶意文件至手机的/system/bin/,/system/xbin/,/system/lib/目录,同时把脚本/system/etc/install-recovery.sh文件注入

5)cufsdosck文件行为逻辑

创建线程/sbin/e2fsck_guard,最后通过pthread_create函数创建线程

sub_A9B4函数用于检测/system/bin/cufsdosck,/system/xbin/cufsdosck,/system/etc/install-recovery.sh文件是否存在

若不存在,则调用sub_B198函数,生成对应文件,并通过inotify_add_watch函数监视文件的动作

监视文件动作

并通过sub_B0B4函数调用sub_A204函数,并启动其他恶意服务

5.Root模块相关信息

文件/data/data/包名/files/2调用root大师的root方案进行提权

存放在/data/data/包名/tr/fileWork目录下的root方案

脚本wsroot.sh中的部分内容

6.传播渠道推测

样本首次收集来源分布图

分析用户量较大的样本,其中有不少疑似通过广告url下载的,如下:

7.溯源信息

获取广告配置信息来自域名sdk.**76.com,此域名备案信息属于北京青*信息技术有限公司

私自下载推广软件的域名http://dws.m***appservice.net,此域名备案信息属于上海欧*信息技术有限公司

部分加密文件:

http://2y**37.xmglz.com

root模块

http://cdn.***msz.com/s?z28

8.清理方案

须先kill掉线程/sbin/e2fsck_guard,卸载病毒母样本,再清理以下文件

Elf文件:

不同环境下释放的文件可能会有所不同

chattr -aiA /system/lib/libandroidmedias.so /system/lib/libandroidmails.so /system/lib/liblgeanimationplayer.so /system/lib/liblgehardwarecheck.so  /system/lib/liblgeequipmenthealth.so /system/lib/libsystemvendorlge.so /system/bin/eqhealthd  /system/bin/hwcheckd-lge /system/vendor/cufsdosck /system/bin/cufsdosck /system/bin/cufsmgr /system/lib/libbot.so /system/bin/bootanimation /system/bin/.debuggerd.no /system/bin/.nosh /system/bin/conbb /system/bin/debuggerd /system/bin/.install-recovery.sh-nu.bak /system/bin/debuggerd_realx /system/xbin/cufsmgr /system/xbin/cufsdosck /system/xbin/conbb /system/xbin/klog__A7642 /system/bin/systemcore /system/usr/cufsdosck /system/usr/.nb /system/etc/athima

rm -rf /system/lib/libandroidmedias.so /system/lib/libandroidmails.so /system/lib/liblgeanimationplayer.so /system/lib/liblgehardwarecheck.so  /system/lib/liblgeequipmenthealth.so /system/lib/libsystemvendorlge.so /system/bin/eqhealthd  /system/bin/hwcheckd-lge /system/vendor/cufsdosck /system/bin/cufsdosck /system/bin/cufsmgr /system/lib/libbot.so /system/bin/bootanimation /system/bin/.debuggerd.no /system/bin/.nosh /system/bin/conbb /system/bin/debuggerd /system/bin/.install-recovery.sh-nu.bak /system/bin/debuggerd_realx /system/xbin/cufsmgr /system/xbin/cufsdosck /system/xbin/conbb /system/xbin/klog__A7642 /system/bin/systemcore /system/usr/cufsdosck /system/usr/.nb /system/etc/athima

Apk文件:

chattr -aiA  /system/priv-app/BCTService.apk /system/priv-app/TP2.apk /system/priv-app/TP2.apk

Rm -rf /system/priv-app/BCTService.apk /system/priv-app/TP2.apk /system/priv-app/TP2.apk

时间: 2024-10-13 05:45:44

手电筒惊现海量root病毒:私自扣费、强装病毒、恶意弹窗的相关文章

女程序员做了个梦,各路大神惊现神级评论!

开心一刻! 都说程序猿是地球上比较特殊的物种,而女程序猿(也称程序媛)更是稀缺物种,集万千宠爱于一身.比如,Twitter上的一位女程序员仅仅是做了一个梦,马上引来了一众程序猿的围观起哄,惊现各种神级评论! 原文梦境 Twitter话题.png 神级评论 亡羊补牢型 把那个女人的指针指向你即可: 谁让你把男朋友设成public的: 心真软,就该把他的接口屏蔽掉: protected 逛街(youOnly): 设计问题,应该采用单例模式: 没做回归测试: 标准做法是做个断言: 注释掉了,逛街的参数

【原创】IE11惊现无厘头Crash BUG(三招搞死你的IE11,并提供可重现代码)!

前言 很多人都知道我们在做FineUI控件库,而且我们也做了超过 9 年的时间,在和浏览器无数次的交往中,也发现了多个浏览器自身的BUG,并公开出来方便大家查阅: 分享IE7一个神奇的BUG(不是封闭标签的问题,的确是IE7的BUG) Chrome53 最新版惊现无厘头卡死 BUG! Chrome最新版(53-55)再次爆出BUG! 这类BUG之所以被大家所深恶痛绝,在于其隐蔽性,很多时候不能用常规的逻辑去分析.另一个原因的开发人员一般都很善良,出现问题总是从自身找原因,很少会怀疑到IDE,浏览

安卓病毒查杀 并追终病毒源头

安卓病毒从权限分有2种 一种会攻击系统root权限 也就是自己充当root工具获取系统root权限   这种病毒特点是难以卸载  恢复出厂无法清除.还有一种是不会进行获取root权限的病毒 ,恢复出厂可以清除. 从网络分为2种  一种互联网控制  还有一种 短信指令控制  很少存在单机病毒,因为黑客不喜欢玩单机. 对于任何病毒 你要把它当成软件看  因为任何病毒的本质属性就是软件 只是在软件上增加了隐蔽性 远程控制性 自启动性等特点 所以清楚病毒的本质是卸载软件.就算还有 病毒残渣,比如病毒产生

趋势科技安全威胁病毒预警(本周十大病毒排名)

最近,趋势科技中国区网络安全监控中心公布了<安全威胁每周警讯>,统计了较为活跃的排名前十的病毒类型.报告显示,这些病毒共同的特征和逐利手段是:在用户不知情的状态下,私自下载恶意程序或未知软件,并试图在同一时间内随机连结当中 500 个恶意站点下载病毒.   排名前十大病毒警讯 排名 病毒名称 威胁类型 风险等级 趋势 病毒行为描写叙述 1 TROJ_IFRAME.CP 木马 ★★★ ↑ GIF.jpg和SWF 文件里被插入一个恶意的iframe 标记时,趋势科技会将其推断为TROJ_IFRAM

3月第4周业务风控关注 |9款违规App曝光:涉及恶意扣费、隐私窃取、×××

易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全.移动安全.业务安全和网络安全,帮助企业提高警惕,规避这些似小实大.影响业务健康发展的安全风险.一.9款违规App曝光:涉及恶意扣费.隐私窃取.×××据网信广东消息,国家计算机病毒应急处理中心近期在净网行动中通过互联网监测发现,9款违法有害移动应用存在于移动应用发布平台中,其主要危害涉及恶意扣费.隐私窃取.×××三类.这些违法有害移动应用具体如下:1.<PhotoLoop>(版本20.4).<快对答案>(版本7.

币圈惊现门罗币挖矿新家族「罗生门」

欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由云鼎实验室发表于云+社区专栏 一.前言 腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒.这批样本今年5月开始出现,目前各大杀软对此样本基本无法有效查杀,腾讯云云镜第一时间跟进查杀.根据进一步溯源的信息可以推测该挖矿团伙利用被***的×××服务器进行病毒传播.分析显示,此挖矿样本不具有传播性,总体结构式是 Loader + 挖矿子体,挖矿团伙通过控制的机器进行远程 S

失传已久,1917年的满分作文,惊现于世!

<心之力>写成于1917年,已初现大志. 以下为得之不易的<心之力>原文(全文),请耐心阅读,体会伟人大气: 宇宙即我心,我心即宇宙.细微至发梢,宏大至天地.世界.宇宙乃至万物皆为思维心力所驱使.博古观今,尤知人类之所以为世间万物之灵长,实为天地间心力最致力于进化者也.夫中华悠悠古国,人文始祖,之所以为万国文明正义道德之始作俑者,实为尘世诸国中最致力于人类自身与天地万物间精神相互养塑者也.盖神州中华,之所以为地球文明之发祥渊源,实为诸人种之最致力于人与社会与天地间公德.良知依存共和

武汉依黛天娇服饰棺木里惊现鲫鱼标本限公司《微爱》票房吸金近3亿 姜瑞佳扮丑欢乐贺岁

刘家良--逝去的神灯,古典时代的武术大师,逝去的影坛武林.一代宗师刘家良于6月25日晨于香港仁安医院因病离世,享年76岁.怀念刘家良,一路走好!刘家良--逝去的神灯,古典时代的武术大师,逝去的影坛武林.一代宗师刘家良于6月25日晨于香港仁安医院因病离世,享年76岁.怀念刘家良,一路走好!相识刘家良导演是1993年初,拍摄电影<醉拳2>,一晃20年了.昨日凌晨闻讯刘家良 九岁肌肉猛男根,出演过<七剑>.<疯猴>.<十八般武艺>.<长辈>.<五

微信页面播放视频惊现低俗广告

这几天在测试微信视频播放的时候,发现在安卓手机上,将页面打开后,如果将播放的的视频全屏,播放结束后会出现低俗广告. 即使直接使用video标签也是如此,好无节操.向腾讯微信客服反馈也毫无结果. 大家在微信里打开这个页面,随意感受一下:http://wx.yolantech.com/company/wx-video-ads.html 视频是七牛上的,纯video标签,没有用任何插件 1 <html> 2 <head> 3 <style type="text/css&q