錦繡中華�����,盛世華誕,馬上我們就要迎來(lái)新中國(guó)成立70周年的大日子!不論大家打算在手機(jī)上觀看熱血沸騰的大閱兵直播��,還是上網(wǎng)為“阿中哥”打call應(yīng)援���,總之對(duì)祖國(guó)“花式表白”���,即將成為今年十一假期“最燃”的度假項(xiàng)目。
但是��,在我們“機(jī)不離手”的長(zhǎng)假里��,不得不提防一種能給你手機(jī)致命一擊的Android Native病毒——“伏地魔”����。360安全大腦的長(zhǎng)期監(jiān)測(cè),發(fā)現(xiàn)自2016年6月起�,“伏地魔”病毒便活躍于用戶手機(jī)里。它不僅能偽裝手機(jī)系統(tǒng)文件�����,更帶來(lái)?yè)]之不去的煩人廣告及惡意應(yīng)用���,嚴(yán)重影響手機(jī)正常使用����,甚至被莫名扣費(fèi)�。而根據(jù)統(tǒng)計(jì),感染“伏地魔”病毒的手機(jī)用戶已超過(guò)100萬(wàn)�����。
就在節(jié)前����,360安全大腦發(fā)布《兼容安卓64位的“伏地魔”病毒分析報(bào)告》,首次詳細(xì)披露了“伏地魔”病毒3年來(lái)的演變進(jìn)程��,以及其不斷進(jìn)化的全新變種;并且全面分析了“伏地魔”病毒在全國(guó)范圍的傳播疫情和攻擊態(tài)勢(shì)�����。
“伏地魔”散播五湖四海�����,64位病毒呈高發(fā)態(tài)勢(shì)
首先����,從地域分布來(lái)看�����,感染“伏地魔”病毒最多的省份為廣東省�,感染量占全國(guó)感染量的10.27%;其次為河南省為8.04%����,山東省為7.92%;再綜觀全國(guó)感染分布,不難發(fā)現(xiàn)“伏地魔”病毒正在向全國(guó)四面八方大肆傳播��,安全防護(hù)意識(shí)不可掉以輕心���。
至于中招手機(jī)的版本����,多達(dá)92% 集中在Android5.1和Android4.4���,其中Android5.1受災(zāi)最為嚴(yán)重�����,占比達(dá)60%;其次�����,“伏地魔”病毒的64位版本影響范圍主要為Android5.1和Android5.0��。
必須警惕的是�����,在64位操作系統(tǒng)已成Android手機(jī)主流的趨勢(shì)下�����,越來(lái)越多的Android Native病毒開(kāi)始兼容64位手機(jī)���,“伏地魔”的不斷演變并發(fā)展成為支持64位手機(jī)的“致命”病毒,正是這一趨勢(shì)的具體體現(xiàn)�����。因此��,360安全大腦發(fā)出預(yù)警:未來(lái)可能是64位Android Native病毒的高發(fā)期�,移動(dòng)端安全防護(hù)變得更為嚴(yán)峻。
斗智斗勇“掩體戰(zhàn)”�,手段高超躲避殺軟
回顧“伏地魔”病毒在長(zhǎng)達(dá)3年的演變進(jìn)程中,已經(jīng)歷了三次版本迭代����。從簡(jiǎn)單的初代����,到使用動(dòng)態(tài)感染技術(shù)��,再到增加惡意扣費(fèi)模塊����,攻擊功能不斷升級(jí)完善,以今年1月首次使用動(dòng)態(tài)感染技術(shù)的“伏地魔”病毒新變種為例����,僅用1個(gè)月就有6.7萬(wàn)用戶中招感染,其感染量達(dá)到峰值�。
針對(duì)新出現(xiàn)的變種版本,360安全大腦確認(rèn)其“危險(xiǎn)系數(shù)”極高�。一方面“伏地魔”是APP界出色的“偽裝者”,不僅病毒母包可以假扮成“討喜好用”的正常APP程序��,像掌上快訊�、水果忍者之類,而病毒模塊則可以“冒充”手機(jī)系統(tǒng)文件�����,外觀和內(nèi)核都真假難辨。
另一方面�����,“伏地魔”也有著高超的對(duì)抗手段���,例如病毒會(huì)在開(kāi)機(jī)運(yùn)行5分鐘以后,才開(kāi)始安裝��、拉起惡意應(yīng)用;運(yùn)行20分鐘后�,才開(kāi)始偷偷訂閱服務(wù)、惡意扣費(fèi)……總之����,攻擊者精心設(shè)計(jì)了“定時(shí)觸發(fā)”,再加上“加密混淆”����、“HOOK注入”、“多重檢測(cè)”等各式各樣的“保命”方法��,讓“伏地魔”躲過(guò)殺軟查殺�����,實(shí)現(xiàn)對(duì)抗殺軟。
與此同時(shí)���,“伏地魔”病毒主要通過(guò)偽裝小游戲�����、色情應(yīng)用�,以及第三方ROM等方式進(jìn)行傳播�。中招用戶一旦感染病毒就會(huì)像擰開(kāi)病毒的“閥門”,除了推送霸屏廣告���,還會(huì)陸陸續(xù)續(xù)下載其他病毒應(yīng)用以及更多推廣軟件���,形成一個(gè)惡性循環(huán);同時(shí),該病毒還會(huì)私自訂購(gòu)業(yè)務(wù)��,造成用戶直接經(jīng)濟(jì)損失���。
“伏地魔”病毒詳細(xì)技術(shù)分析:
經(jīng)過(guò)360安全大腦的進(jìn)一步溯源分析����,確認(rèn)“伏地魔”病毒主要由任務(wù)調(diào)度模塊、ROOT提權(quán)模塊���、注入模塊��、惡意扣費(fèi)模塊四大模塊組成�����,其整體執(zhí)行流程如下:
任務(wù)調(diào)度
病毒應(yīng)用運(yùn)行后�����,首先檢測(cè)設(shè)備狀態(tài),防止在非用戶運(yùn)行環(huán)境觸發(fā)惡意行為;檢測(cè)通過(guò)后���,會(huì)對(duì)用戶手機(jī)進(jìn)行注冊(cè)�����,并設(shè)置定時(shí)觸發(fā)任務(wù)��。病毒應(yīng)用在運(yùn)行一段時(shí)間后���,會(huì)向云端發(fā)送更新請(qǐng)求,下載并動(dòng)態(tài)加載惡意文件artificial.jar。
ROOT提權(quán)
惡意文件artificial.jar運(yùn)行后����,會(huì)向云端請(qǐng)求ROOT提權(quán)方案。ROOT提權(quán)模塊則主要包含yaiekvzmsqyulmrx.jar�、 .dmpsys(開(kāi)源Superuser的SU模塊)等文件,用以完成如下任務(wù):
1) 獲取手機(jī)ROOT權(quán)限;
2) 向云端請(qǐng)求下載任務(wù)�,獲取應(yīng)用推廣配置文件/data/.notify/cfg;
3) 執(zhí)行惡意推廣:惡意推廣的應(yīng)用分ROM內(nèi)應(yīng)用(安裝到/system/app、/system/priv-app�����、/system/framework等目錄����,使用“cat > ”命令進(jìn)行安裝),以及普通應(yīng)用(安裝到/data/data目錄����,使用pm install命令進(jìn)行安裝)兩類。
ROOT提權(quán)模塊主要使用了CVE-2016-5195(臟牛漏洞)����、開(kāi)源提權(quán)方案、針對(duì)特定品牌手機(jī)的提權(quán)漏洞進(jìn)行提權(quán)����。
應(yīng)用���;钆c注入
在獲取到手機(jī)ROOT權(quán)限后,病毒應(yīng)用會(huì)加載注入模塊sysutils.so�����,其使用動(dòng)態(tài)感染技術(shù)�,隨系統(tǒng)庫(kù)文件一同加載,以“掩人耳目”;此外���,“伏地魔”病毒還多次使用ELF文件內(nèi)部釋放邏輯���,以進(jìn)一步增強(qiáng)隱蔽性�。注入模塊主要完成以下任務(wù):
1) 釋放應(yīng)用保活模塊 .notify:該模塊會(huì)讀取/data/.notify/cfg配置文件�����,而后使用cat命令安裝惡意應(yīng)用至手機(jī)ROM��,并啟動(dòng)該惡意應(yīng)用;
2) 執(zhí)行系統(tǒng)命令:修改.notify�����,.dmpsys文件權(quán)限為0755,并執(zhí)行;
3) 注入惡意扣費(fèi)模塊進(jìn)行扣費(fèi):利用開(kāi)源框架ELFHooker將android_servers.so注入到手機(jī)Phone進(jìn)程����,為惡意扣費(fèi)做準(zhǔn)備。
惡意扣費(fèi)
惡意扣費(fèi)模塊android_servers.so會(huì)釋放惡意文件runtime.jar�,并加載其o.r.g.Apt.run()方法,以實(shí)現(xiàn):1)后臺(tái)監(jiān)控收發(fā)讀寫(xiě)短信;2)私自訂購(gòu)業(yè)務(wù)并扣費(fèi)等惡意行為�。
如下是惡意扣費(fèi)模塊的演變進(jìn)程,可以看出該模塊具有較多變種�,并且更新頻繁,經(jīng)過(guò)多次升級(jí)后�,其功能逐步趨于完善,隱蔽性也在進(jìn)一步增強(qiáng)����。
其執(zhí)行惡意監(jiān)控、收發(fā)讀寫(xiě)短信的代碼片段如下:
安全建議:
病毒作者在獲取到手機(jī)ROOT權(quán)限后���,就擁有了手機(jī)控制權(quán)���,可以“為所欲為”,就像一顆“定時(shí)炸彈”��,移動(dòng)互聯(lián)網(wǎng)的今天,手機(jī)已成為人類“新的器官”���,其承載了我們太多的個(gè)人信息�,為保障個(gè)人隱私和財(cái)產(chǎn)安全�,360安全大腦建議:
1. 尋找“360手機(jī)衛(wèi)士”神助攻:360安全大腦始終保持對(duì)Android Native病毒動(dòng)態(tài)的密切關(guān)注,并已支持上述病毒的全面一鍵查殺�����,擔(dān)心手機(jī)安危的小伙伴們�,可以及時(shí)通過(guò)360手機(jī)衛(wèi)士官網(wǎng)及各大軟件市場(chǎng)安裝/更新360手機(jī)衛(wèi)士,對(duì)愛(ài)機(jī)進(jìn)行一次全面“體檢”;
2. 使用廠商官方ROM:第三方ROM刷機(jī)包也是Android Native病毒傳播渠道之一�,市面上的ROM包“魚(yú)龍混雜”,切記不要隨意下載刷入安全性未知的第三方ROM;
3. 通過(guò)正規(guī)手機(jī)應(yīng)用市場(chǎng)下載安裝APP:五花八門的應(yīng)用下載網(wǎng)站是Android Native病毒的藏身樂(lè)園�����,普通用戶難辨網(wǎng)站真?zhèn)����,通過(guò)正規(guī)手機(jī)應(yīng)用市場(chǎng)下載安裝APP可有效規(guī)避中招風(fēng)險(xiǎn);
4. 及時(shí)更新系統(tǒng)及補(bǔ)�����。及時(shí)升級(jí)系統(tǒng)、安裝系統(tǒng)更新補(bǔ)丁可有效降低漏洞利用風(fēng)險(xiǎn)�。
相關(guān)C&C服務(wù)器信息:
相關(guān)APK列表:
