【技术分享】“六棱镜”手机病毒分析报告

360安全客 安全知识 78368 4

https://p3.ssl.qhimg.com/t0120b66ec996be7bc4.png

概述

近期,360安全中心连续收到用户反馈,手机感染了一种难以清除的病毒。该病毒一旦运行,手机设备将不断弹出广告,自动下载、安装和启动各种恶意应用。常规手段无法彻底清除该病毒,手机一旦重启该病毒立刻“复活”,并导致某些安全软件无法响应。

经过深入分析调查,得出此病毒几个重要特征。推广方式比较特别,可以在界面生成诱导性图标;扣费方式主要是通过一些色情信息引诱用户支付;通过禁用安全软件和修改安全软件本地白名单的方式对抗杀软;病毒结构各分支细节非常复杂,用上了几乎所有最近流行的对抗分析手段。由于病毒伪装方式多样、迷惑性强并且结构复杂,我们将其命名为“六棱镜”手机病毒。


影响

“六棱镜”病毒运行后,动态加载Root模块,把扣费、推广等核心模块写入系统分区,并与conbb建立本地socket通信,执行控制命令。凭借使用ollvm加固混淆、禁用安全软件、替换系统文件等手段,短短三个月就已达到上百万次感染。感染范围覆盖全国各地,受影响比较严重的是沿海地区。

(一) 传播途径

生活服务类应用和色情诱惑类等刚需应用是“六棱镜”病毒最大的感染途径,这类应用主要通过用户主动下载或被动推广安装进行传播。

http://p4.qhimg.com/t01e4c18188fc24799b.png

重打包、伪装热门游戏应用和工具软件诱导用户下载。

http://p4.qhimg.com/t011b098ea9544a8481.png

伪装系统应用:系统升级、系统设置,内置系统ROM中。

http://p9.qhimg.com/t01b9f824e01b2dc384.png

(二) 感染分布

1. 全国地区感染分布

据360互联网安全中心监测到的数据, 2017年1-4月“六棱镜”病毒平均月新增40W,累计感染量已达百万级。其中广东省、河南省、山东省、四川省是感染重灾区。

http://p3.qhimg.com/t0145ec2ceba163c80e.png

2. 受感染Android版本分布

从感染的手机系统版本来看,Android4.4、Android4.2、Android4.3和Android4.1成为感染集中区,低Android系统版本用户设备极度危险。

http://p2.qhimg.com/t015fea840e54a461d2.png


恶意行为

a)  “六棱镜”病毒采用了比较特别的推广方式,远程接受控制命令,静默下载、安装和启动恶意应用,并在界面生成诱惑性图标,诱导和欺骗用户点击。

http://p5.qhimg.com/t0145bab82718fa5830.png

http://p1.qhimg.com/t018e3a973d7351c8a4.png

b)  “六棱镜”病毒一旦运行,将会不断弹出全屏广告,这类广告主要包括色情应用、热门游戏和清理软件,并弹出安装和支付按钮,诱导用户点击。

http://p6.qhimg.com/t018c36f179500c3fa7.png

c) 同时我们监控到“六棱镜”病毒具有禁止安全软件联网、禁用安全软件,把病毒自身母包信息写入到安全软件本地白名单中的恶意行为。


技术分析

(一) 执行流程图

“六棱镜”病毒各分支细节极其复杂,但是整体入侵过程与病毒常用执行流程相同:初始化信息、获取云端指令、下发Root方案,扎根系统、恶意推广。

http://p2.qhimg.com/t0178ae7f855fe0f2f8.png

(二) 病毒行为

1. 初始化信息

初始化广告SDK渠道信息。

http://p8.qhimg.com/t0143dfbd414318b2da.png

初始化待禁用安全软件列表。

http://p8.qhimg.com/t01b609a19e9708a187.png

生成Shell脚本进行进程守护。

http://p3.qhimg.com/t010de95c536e6f4e70.png

初始化网络通信。

http://p8.qhimg.com/t013018717e78b63584.png

2. 获取Root权限详细过程

Root提权模块是“六棱镜”病毒生存的关键模块。母包初始化完成后,立即从网络服务器下载Root提权模块sh.jar,该文件包含一系列与Root相关的文件。

http://p7.qhimg.com/t01fd826202e0ec68a0.png

动态加载rootDex.dex,调用getDex()尝试获取Root。

http://p4.qhimg.com/t0168a0724d941f47d8.png

rootDex文件结构。

http://p5.qhimg.com/t014586dd890402919f.png

拷贝su、busybox、病毒APK到/mnt/sdcard/.xxx/目录下,su2更名为suc。

http://p1.qhimg.com/t01690b7639edb79e1a.png

执行suc尝试获取Root权限。

http://p3.qhimg.com/t01e91f2300d103ef8e.png

suc释放动态库.xinyi1678410242,调用so中nu82f9uh2sfs()方法执行Root方案。

http://p8.qhimg.com/t01aabdda1a18a3eb54.png

调用Root大师的Root方案进行提权。

http://p6.qhimg.com/t011fcb8d5a794b5067.png

3. 恶意行为详细分析

Root成功后,拷贝病毒母体进/system/app目录

http://p4.qhimg.com/t01129ba39874a76202.png

连接服务器接收云端指令,下载安装各种推广程序。

http://p2.qhimg.com/t01367aacebb1fa3d26.png

启动多个进程进行相互守护。

http://p1.qhimg.com/t0170c907a9fbf3c302.png

并将自身包信息写入到安全软件本地白名单中,绕过本地安全检查。

http://p6.qhimg.com/t01d1d865ab2d795c11.png

禁用安全软件,导致手机应用异常崩溃。

http://p3.qhimg.com/t01bee55b690edd556a.png


溯源

我们动态抓取到“六棱镜”病毒与服务器通信内容。本次病毒向服务器请求的获取安装APK,可以从中看到服务器返回APK下载链接、访问时间、是否加密等其他信息。

http://p9.qhimg.com/t01cfdd1f64773c25bd.png

通过分析APK回连地址,我们发现病毒服务器上存在大量恶意程序,包括Root程序、恶意推广程序以及病毒更新程序。

http://p8.qhimg.com/t01f10af319dc99d946.png

相关病毒使用证书MD5。

http://p2.qhimg.com/t0114f56d79b3c2d313.png

“六棱镜”病毒使用网址信息。

http://p8.qhimg.com/t0177d160d09feb75c2.png

“六棱镜”病毒服务器集群IP。

http://p6.qhimg.com/t01bf61a6ab827dc370.png

“六棱镜”病毒域名与IP关联性直观图如下:

https://p3.ssl.qhimg.com/t0120b66ec996be7bc4.png


总结

移动端病毒经历了从应用层到系统底层的重大演变后,替换系统文件、禁用安全软件、多个进程相互守护复活已然成为众多病毒作者的“常规武器”,禁止安全软件访问网络、修改安全软件病毒库已成为病毒作者突破本地防御系统的“新型武器”。

本文着重描述了病毒的关键功能信息,其底层模块结构非常复杂。比如/system/xbin/gpsrd、/system/xbin/conbb等病毒核心模块,均使用了去年Android端底层病毒常用的对抗手法,如ollvm编译、md5自变换、复杂的多进程守护以及众多反调试手段等。并且在后续版本中各模块代码功能完善,结构复杂,一定程度上加大了查杀难度。

值得注意的是六棱镜核心模块/system/xbin/conbb与百脑虫的核心模块conbb不仅名字相同,代码和功能相似度也很高。结合其对抗手段全面、结构复杂、功能完善的特点,可以看出“六棱镜”病毒吸收了以往各病毒家族的经验,这种发展方式使得Android端病毒的发展速度将会变得更快。

(完)