百度安全实验室

“系统幽灵”病毒分析报告

时间:2017/11/06   作者:MD小组

一、简介

近日,我们接到用户反馈:用户手机突然出现发热黑屏、自动重启,疑似被恶意ROOT病毒软件攻击。经过分析用户手机中的疑似病毒软件,我们发现该病毒在后台私自下载恶意插件,获取ROOT方案,ROOT用户手机,并将恶意软件安装到系统目录,推送广告。

 

二、病毒来源

经分析疑似病毒软件发现,安装PC版魔品助手软件并连接手机,手机上会自动安装一款移动连接助手app,该软件就是造成用户手机黑屏、自动重启并获取root权限触发恶意行为的罪魁祸首。

 

三、病毒危害

1、该病毒经过营业厅等渠道安装,且桌面无图标,用户无法感知,难以发现

2、自动获取root方案,强行root用户设备,获取系统最高权限

3、安装恶意应用(系统打印服务)到系统目录下,被安装的恶意应用可以根据push的指令,下载相应的jar包,动态加载并执行,用户很难卸载

4、在后台下载并加载恶意插件、弹出广告、消耗用户流量、干扰用户正常使用。

 

四、感染量统计

手机连接助手3.0版本是从201612月份开始传播,截止到现在设备感染量已高达200万以上。

 

五、病毒流程图

liucheng
 

六、详细分析

1、该病毒通过PC版魔品助手进行安装到手机上,后台运行,无图标。

app1

 

手机连接助手运行后访问网络获取插件信息代码如下

code1
 

下载完成后把插件信息写入名为com.ixintui.data.version.xmlSharedPreference里面

code2
 

加载插件一:ixintui_plugin_7381.jar,调用com.ixintui.pushsdk.PushSdkApiImpl

code3
 

读取SharedPreference文件com.chyj.dj.stat.SP.xml

code4
 

访问com.chyj.dj.stat.SP中加密的url

code5
 

下载的wzrr_diaochan01.zip进行解压

code6
 

/data/data/com.skymobi.suit/files/.3a0f6656c7c8569e1c88af15448cee64
目录解压后的文件

code7

 

stat_plugin_7381.jar调用广告部分Hk.jar文件

code8
 

Hk.jar调用ak.Jar文件

code9
 

Ak.jar调aak.jar文件

code10
 

aak.jar 调用的广告代码

code11
 

调用的广告一共三款:

广告一

ad1
 

广告二

ad2
 

广告三

ad3
 

加载插件二:stat_plugin_7381.jar 加载stat_plugin_7411.jar 调用com.ixintui.stat.api.StatProvider

code12
 

该插件能够下载2ROOT方案,后台私自ROOT用户手机,并将恶意软件安装到系统目录

下载ROOT方案 1

code13
 

执行root方案 1

code14
 

 执行case_test中的ROOT命令,生成postroot_log.txt结果文件

code15
 

postroot_log.txt 如下

code16
 

下载ROOT方案2

code17
 

解压并下载rootbin

code18
 

执行ROOT命令

code19
 

安装恶意软件到系统目录下

执行ROOT命令后,安装恶意软件(系统打印服务)到系统目录/system/priv-app/,并重启系统

code20
 

2、恶意软件(系统打印服务app)分析

目录结构如下:

code21

 

接收推送指令下载插件

code22
 

通过dp.guernica框架加载下载的bundle

code23
 

该应用访问http://wit-wifi.com/fazol.zip下载插件,该插件有两个功能

1、继续进行root,获取临时root权限

code24
 

2、安装未知应用到系统目录

code25
 

七、溯源

1、恶意样本 “移动手机助手”版本3.0.0:

安装PC版魔品助手软件并连接手机,会在用户手机上面安装主包软件移动连接助手”APP,我们发现移动手机助手的版本号为3.0.0的软件会推送恶意软件。

suyuan1
 

以下是该软件证书的签名信息:

suyuan3
 

Skymobi为浙江杭州斯凯网络科技公司

 

2、移动连接助手通过www.iappease.com.cn网站下载2个恶意插件,

通过who.is在线网站查询,可以看到注册者邮箱为 ixintuicdn@163.com,得出www.iappease.com.cn属于ixintui注册域名,下图显示为域名查询的信息

suyuan4
 

3、文中提到的下载root方案的网站:

http://a.ixintui.com/pplail.zip

http://a.ixintui.com/wzeet.zip

2个网址都会下载恶意apk软件(系统打印服务),查询域名得知ixintui爱心推隶属于北京麒麟心通网络技术有限公司

 

4、广告下载链接的域名信息查询

http://p.zccfo.com:6088/

http://p.bpai360.com:6088/

http://p.kakaoya.com:6088/

suyuan5
 
suyuan6
 

相关播报

首页 | 百度手机卫士 | 开放平台 | 关于我们

Copyright © 2018 Baidu. All Rights Reserved.

百度公司 版权所有