來自遠方的“僵屍之手”

最近，安天AVL移動安全和獵豹移動安全實驗室共同截獲病毒“僵屍之手“——一種偽裝成正常應用，並通過遠程指令控制中毒手機，實施惡意行為的病毒。該病毒通常偽裝成正常的工具類應用或娛樂類應用進行傳播（如下圖所示）。“僵屍之手”在用戶未察覺其為病毒的情況下安裝進入用戶手機，成功繞開部分殺毒軟體的查殺後，進而聯網下載實際發揮惡意作用的程式並誘導用戶安裝。一旦實現遠程式控制制中毒用戶手機，“僵屍之手”將強制手機下載更多其他病毒軟體並嘗試安裝。

圖  偽裝正常應用的“僵屍之手”系列應用

如果你以為這樣就算完了，

小編只能朝天猛吼一句，

圖樣圖森破啊！

如果已Root的手機不幸中招，該病毒在獲取中招手機Root許可權後將自動下載並安裝、運行病毒軟體，造成用戶流量和資費的嚴重損耗！此外，“僵屍之手”還會在特定時機自動卸載病毒，第一時間清理“作案”現場，中招的用戶往往話費被”掏空“了都不知道是為啥…

經過分析，安天AVL移動安全和獵豹移動安全實驗室總結“僵屍之手“惡意軟體有如下行為特征：

1、   惡意程式啟動後，會私自下載其他惡意子程式，安裝並啟動惡意子程式。

2、   惡意子程式啟動後，會執行惡意扣費、流氓推送等惡意行為。

3、   惡意子程式啟動本地服務並常駐後臺，同時每隔15分鐘聯網獲取遠程式控制制指令，根據指令進行相應操作。

圖 “僵屍之手”作案流程圖

一、惡意代碼詳細分析

Step1：下載並安裝惡意子程式

程式啟動後，通過監聽用戶開機啟動、解鎖、網路變化的情況來啟動惡意程式相應的功能模塊，功能模塊啟動後會通過網址http://dfchan.cn.com:8080/a/dfc_poll2.apk下載惡意子程式。

圖 下載惡意子程式

該惡意程式在惡意子程式下載結束後會請求root許可權，並試圖使用shell cat命令將惡意子程式重定向到系統目錄下，若重定向失敗會試圖使用pm install –r 命令靜默安裝惡意子程式，如果仍然失敗則會彈出“您有組件需要立即更新，點擊更新”的通知欄，誘導用戶主動點擊進行安裝。

圖 重定向惡意子程式到系統目錄

圖 靜默安裝惡意子程式

圖 通知欄誘導安裝惡意子程式

Step2：通過遠程指令控制推送惡意應用安裝、運行和卸載

該惡意軟體成功安裝惡意子程式後，會創建一個每隔15分鐘啟動的定時服務：CmdService。該服務啟動後，惡意軟體通過網址：http://111.67.201.217:8080/a/taskList5.txt聯網獲取遠程式控制制指令，同時解析指令執行相應的操作。

遠程指令格式：#StartHour~EndHour,, ,,classname-cmdid url packagename servicename

指令欄位說明：

當前活躍的遠程指令主要在Sao和Browse類中，指令信息如下圖所示：

從Sao類中獲取下載apk的網址，下載並將apk文件保存在files目錄。程式通過請求root許可權試圖將下載的apk進行靜默安裝或使用系統安裝界面進行安裝，並使用包名和service來啟動apk，最後將這些安裝運行的apk加入到卸載列表。

在當前活躍指令中的網址下載的apk程式大部分為惡意應用，檢出結果如下表：

該惡意軟體成功申請root許可權後，定時服務CmdService再次執行時會將卸載列表中的惡意apk通過pm uninstall命令進行靜默卸載，同時接收新的指令並執行。

在Browse類中，通過指令獲取數據構造Uri去打開指定界面，在當前案例中通過瀏覽器來訪問網址http://down.huobaotv.org/344/huobaotv.app下載服務端指定的安全性未知的應用。

各類執行的指令功能如下圖所示：

Step3：惡意代碼來源與行為類型分析

通過對該惡意軟體來源進行調查分析，安天AVL移動安全和獵豹移動安全實驗室共同發現該ftp.dsmer.com功能變數名稱下77%的樣本皆為惡意樣本，並且可以被安天AVL SDK反病毒引擎全部檢出。被檢出樣本行為分佈如下：

二、安全建議

針對“僵屍之手“系列惡意軟體，AVL Pro和獵豹安全大師已經實現全面查殺。安天AVL移動安全和獵豹移動安全實驗室提醒您：

1、   請保持良好的上網習慣，不要在非官方網站或者不知名應用市場下載任何應用；

2、   經常使用殺毒軟體病毒掃描功能，以確認您的手機中是否可能存在安全隱患；

3、   儘量不要Root手機，已Root的手機用戶請務必謹慎，不要輕易授予Root許可權給您不信任的軟體。

安天AVL移動安全專註於移動互聯網安全技術研究及反病毒引擎研發，提供強大的移動安全解決方案。2014年，安天AVL移動安全與獵豹達成AVL SDK反病毒引擎戰略合作。

歡迎關註安天AVL移動安全的微信公眾號AVLTeam，獲取更多移動安全相關資訊以及合作咨詢。

轉載請註明來源：http://blog.avlyun.com/?p=2940