百度安全实验室

“吸血鬼” 病毒分析报告

时间:2017/06/01   作者:匿名

 


   近日百度移动反病毒团队监控到一款“吸血鬼”手机病毒,该病毒利用系统漏洞获取Root权限后,疯狂传播各种类型的其它恶意应用。该批恶意软件通过恶意吸费、广告平台流量作弊、隐私窃取、恶意推广等各种方式获利。该批恶意软件采用动态加载、代码Native化、加密技术、通讯加密、条件触发等方式躲避静态和动态逆向分析。
 
•  病毒感染总量趋势图
 

1

 
 
该恶意软件共涉及5款类型应用,其传播路径如下:
 

2

 

com.system.dasicdreams

•  恶意行为
1、 后台静默ROOT用户设备
2、 破坏安全软件正常运行
3、 推广安装其它恶意软件
4、 恶意吸费
 
•  逻辑模块图

3

 
  qibii.so恶意插件主要完整恶意扣费功能,该模块能够根据服务器端指令执行如下恶意扣费行为,根据指令扣费类型不同,扣费方式如下:
 

4

 
•  C&C服务器信息
 

5

 

11

 
•  下载渠道:
 

http://222.186.58.124:8872/apk/appad/14818804398096834.apk

http://222.186.57.232:8874/apk/appad/14823133862787898.apk

http://58.218.205.76:8873/apk/appad/14884369231124500.apk

http://121.201.74.113:8000/app/20170113/0113-BaicDreams.apk

http://res.gobugogo.com/res/apks/3509-.apk

http://cdn.sreauto.com/apk/BaicDreams_jts008(1).apk

http://d.hexunxiang.com/tool/push/20170119014923.apk

http://dev-images.oss-cn-hangzhou.aliyuncs.com/BaicDreams_jts005_20170121085636.apk

http://cdn.chuai365.com/apk/BaicDreams323.apk

http://cdn.chuai365.com/apk/BaicDreams328.apk

http://cdn.chuai365.com/apk/BaicDreams406.apk

http://cdn.chuai365.com/apk/BaicDreams411.apk

http://cdn.chuai365.com/apk/BaicDreams410.apk

http://cdn.chuai365.com/apk/BaicDreams-414.apk

 

com.system.camera

 
•  恶意行为
   恶意吸费
•  逻辑模块图
   该应用与“com.system.dasicdreams”逻辑几乎完全相同。缺少ROOT部分代码调用。
•  下载渠道
   http://www.2345apk.cn:18000/download/System.apk
   http://www.systemp.cn:18000/asta/MISystem.apk
 

com.qihoo360.rom

 
•  恶意行为
   进行恶意推广应用活动
 
•  逻辑模块图

16

 
•  C&C服务器信息
   请求如下URL获取安装应用列表信息:

http://www.2345apk.cn:18000/rom1.html

http://www.2345apk.cn:18000/rom2.html

http://www.2345apk.cn:18000/rom3.html

http://systemp.cn:18000/rom1.html

http://systemp.cn:18000/rom2.html

http://systemp.cn:18000/rom3.html

http://systemp.cn:18000/rom.html

 

request:

http://www.2345apk.cn:18000/rom2.html
 

response:

{“result_id”:1,”results”:[{"core_id":1,"core_ver":"4.1","core_ver_code":53,"core_package":"com.system.wcrash","core_md5":"0bba12daa5cec7fab3d46c59eaa5385f","core_url":"http://2345apk.cn:18000/download/mogu/mogumain.apk"},{"core_id":3,"core_ver":"4.1","core_ver_code":53,"core_package":"com.qihoo.appstore","core_md5":"9b507e5e28ab26ab513fec55af81e0a7","core_url":"http://2345apk.cn:18000/download/mogu/360app.apk"},{"core_id":2,"core_ver":"4.1","core_ver_code":53,"core_package":"com.qihoo.cleandroid_cn","core_md5":"f5982737663623cd0a30ef0b78f440e0","core_url":"http://2345apk.cn:18000/download/mogu/360clear.apk"},{"core_id":6,"core_ver":"4.1","core_ver_code":53,"core_package":"com.ss.android.article.news","core_md5":"9b507e5e28ab26ab513fec55af81e0a6","core_url":"http://2345apk.cn:18000/download/mogu/news.apk"}]}
 
   在控制服务器返回的推广应用列表中,发现了一款com.system.wcrash应用,该应用为蘑菇分发(http://www.mgff.com/)平台一款统计组件,可见恶意开发者通过蘑菇分发渠道获取推广费用。

17

   com.system.wcrash统计插件配置信息:

18

com.android.sec.backup

 
•  恶意行为
   1、静默下载推广恶意软件com.android.sec.player
   2、自动化点击下载第三方广告平台广告,进行广告作弊,消耗用户流量。
 
•  逻辑模块图

19

 
•  C&C服务器信息

http://120.76.31.105/Milestore/backup/backup.php

http://120.76.31.105/Milestone/buckup/libs/load.v23.bin

http://120.76.31.105/Milestone/download/com.android.sec.player_2.1.0.apk

http://120.76.31.105/Milestone/devices_info.php

http://120.76.159.119:28005/openapp.do

 

com.android.sec.player

 
 
•  恶意行为
   根据服务器端指令,下载并动态加载、执行恶意代码。已知加载恶意代码恶意行为如下:
   1、窃取用户联系人信息,并上传到控制服务器
   2、系统破坏:静默修改系统权限管理配置文件
 
•  逻辑模块图
 

21

 
•  C&C服务器信息

http://120.76.31.105/Milestone/devices_mm.php

http://120.76.31.105/Milestone/libs/op.data

http://120.76.31.105/Milestone/libs/up.data

13527725106
 
 
 

相关播报

首页 | 百度手机卫士 | 开放平台 | 关于我们

Copyright © 2018 Baidu. All Rights Reserved.

百度公司 版权所有