錦繡中華�����,盛世華誕��,馬上我們就要迎來新中國成立70周年的大日子!不論大家打算在手機(jī)上觀看熱血沸騰的大閱兵直播�����,還是上網(wǎng)為“阿中哥”打call應(yīng)援���,總之對祖國“花式表白”,即將成為今年十一假期“最燃”的度假項(xiàng)目����。
但是,在我們“機(jī)不離手”的長假里�����,不得不提防一種能給你手機(jī)致命一擊的Android Native病毒——“伏地魔”����。360安全大腦的長期監(jiān)測����,發(fā)現(xiàn)自2016年6月起��,“伏地魔”病毒便活躍于用戶手機(jī)里�。它不僅能偽裝手機(jī)系統(tǒng)文件,更帶來揮之不去的煩人廣告及惡意應(yīng)用��,嚴(yán)重影響手機(jī)正常使用��,甚至被莫名扣費(fèi)��。而根據(jù)統(tǒng)計(jì)�,感染“伏地魔”病毒的手機(jī)用戶已超過100萬。
就在節(jié)前�,360安全大腦發(fā)布《兼容安卓64位的“伏地魔”病毒分析報(bào)告》,首次詳細(xì)披露了“伏地魔”病毒3年來的演變進(jìn)程����,以及其不斷進(jìn)化的全新變種;并且全面分析了“伏地魔”病毒在全國范圍的傳播疫情和攻擊態(tài)勢��。
“伏地魔”散播五湖四海�����,64位病毒呈高發(fā)態(tài)勢
首先,從地域分布來看����,感染“伏地魔”病毒最多的省份為廣東省,感染量占全國感染量的10.27%;其次為河南省為8.04%�,山東省為7.92%;再綜觀全國感染分布,不難發(fā)現(xiàn)“伏地魔”病毒正在向全國四面八方大肆傳播���,安全防護(hù)意識不可掉以輕心��。
至于中招手機(jī)的版本�����,多達(dá)92% 集中在Android5.1和Android4.4���,其中Android5.1受災(zāi)最為嚴(yán)重,占比達(dá)60%;其次���,“伏地魔”病毒的64位版本影響范圍主要為Android5.1和Android5.0����。
必須警惕的是�����,在64位操作系統(tǒng)已成Android手機(jī)主流的趨勢下,越來越多的Android Native病毒開始兼容64位手機(jī)��,“伏地魔”的不斷演變并發(fā)展成為支持64位手機(jī)的“致命”病毒����,正是這一趨勢的具體體現(xiàn)。因此���,360安全大腦發(fā)出預(yù)警:未來可能是64位Android Native病毒的高發(fā)期�����,移動端安全防護(hù)變得更為嚴(yán)峻���。
斗智斗勇“掩體戰(zhàn)”,手段高超躲避殺軟
回顧“伏地魔”病毒在長達(dá)3年的演變進(jìn)程中���,已經(jīng)歷了三次版本迭代。從簡單的初代�,到使用動態(tài)感染技術(shù),再到增加惡意扣費(fèi)模塊�,攻擊功能不斷升級完善�,以今年1月首次使用動態(tài)感染技術(shù)的“伏地魔”病毒新變種為例�����,僅用1個(gè)月就有6.7萬用戶中招感染�����,其感染量達(dá)到峰值���。
針對新出現(xiàn)的變種版本�����,360安全大腦確認(rèn)其“危險(xiǎn)系數(shù)”極高��。一方面“伏地魔”是APP界出色的“偽裝者”���,不僅病毒母包可以假扮成“討喜好用”的正常APP程序,像掌上快訊���、水果忍者之類����,而病毒模塊則可以“冒充”手機(jī)系統(tǒng)文件,外觀和內(nèi)核都真假難辨���。
另一方面�����,“伏地魔”也有著高超的對抗手段�����,例如病毒會在開機(jī)運(yùn)行5分鐘以后�����,才開始安裝�、拉起惡意應(yīng)用;運(yùn)行20分鐘后��,才開始偷偷訂閱服務(wù)�、惡意扣費(fèi)……總之,攻擊者精心設(shè)計(jì)了“定時(shí)觸發(fā)”�����,再加上“加密混淆”、“HOOK注入”�����、“多重檢測”等各式各樣的“保命”方法�����,讓“伏地魔”躲過殺軟查殺����,實(shí)現(xiàn)對抗殺軟����。
與此同時(shí),“伏地魔”病毒主要通過偽裝小游戲�����、色情應(yīng)用��,以及第三方ROM等方式進(jìn)行傳播����。中招用戶一旦感染病毒就會像擰開病毒的“閥門”���,除了推送霸屏廣告,還會陸陸續(xù)續(xù)下載其他病毒應(yīng)用以及更多推廣軟件��,形成一個(gè)惡性循環(huán);同時(shí)��,該病毒還會私自訂購業(yè)務(wù)�,造成用戶直接經(jīng)濟(jì)損失。
“伏地魔”病毒詳細(xì)技術(shù)分析:
經(jīng)過360安全大腦的進(jìn)一步溯源分析�����,確認(rèn)“伏地魔”病毒主要由任務(wù)調(diào)度模塊�、ROOT提權(quán)模塊、注入模塊����、惡意扣費(fèi)模塊四大模塊組成,其整體執(zhí)行流程如下:
任務(wù)調(diào)度
病毒應(yīng)用運(yùn)行后�����,首先檢測設(shè)備狀態(tài)���,防止在非用戶運(yùn)行環(huán)境觸發(fā)惡意行為;檢測通過后��,會對用戶手機(jī)進(jìn)行注冊���,并設(shè)置定時(shí)觸發(fā)任務(wù)���。病毒應(yīng)用在運(yùn)行一段時(shí)間后��,會向云端發(fā)送更新請求�����,下載并動態(tài)加載惡意文件artificial.jar���。
ROOT提權(quán)
惡意文件artificial.jar運(yùn)行后�����,會向云端請求ROOT提權(quán)方案����。ROOT提權(quán)模塊則主要包含yaiekvzmsqyulmrx.jar��、 .dmpsys(開源Superuser的SU模塊)等文件�,用以完成如下任務(wù):
1) 獲取手機(jī)ROOT權(quán)限;
2) 向云端請求下載任務(wù)����,獲取應(yīng)用推廣配置文件/data/.notify/cfg;
3) 執(zhí)行惡意推廣:惡意推廣的應(yīng)用分ROM內(nèi)應(yīng)用(安裝到/system/app����、/system/priv-app、/system/framework等目錄�,使用“cat > ”命令進(jìn)行安裝),以及普通應(yīng)用(安裝到/data/data目錄���,使用pm install命令進(jìn)行安裝)兩類���。
ROOT提權(quán)模塊主要使用了CVE-2016-5195(臟牛漏洞)、開源提權(quán)方案��、針對特定品牌手機(jī)的提權(quán)漏洞進(jìn)行提權(quán)�����。
應(yīng)用���;钆c注入
在獲取到手機(jī)ROOT權(quán)限后�,病毒應(yīng)用會加載注入模塊sysutils.so����,其使用動態(tài)感染技術(shù)���,隨系統(tǒng)庫文件一同加載,以“掩人耳目”;此外����,“伏地魔”病毒還多次使用ELF文件內(nèi)部釋放邏輯,以進(jìn)一步增強(qiáng)隱蔽性����。注入模塊主要完成以下任務(wù):
1) 釋放應(yīng)用����;钅K .notify:該模塊會讀取/data/.notify/cfg配置文件,而后使用cat命令安裝惡意應(yīng)用至手機(jī)ROM����,并啟動該惡意應(yīng)用;
2) 執(zhí)行系統(tǒng)命令:修改.notify,.dmpsys文件權(quán)限為0755�,并執(zhí)行;
3) 注入惡意扣費(fèi)模塊進(jìn)行扣費(fèi):利用開源框架ELFHooker將android_servers.so注入到手機(jī)Phone進(jìn)程,為惡意扣費(fèi)做準(zhǔn)備����。
惡意扣費(fèi)
惡意扣費(fèi)模塊android_servers.so會釋放惡意文件runtime.jar�,并加載其o.r.g.Apt.run()方法��,以實(shí)現(xiàn):1)后臺監(jiān)控收發(fā)讀寫短信;2)私自訂購業(yè)務(wù)并扣費(fèi)等惡意行為����。
如下是惡意扣費(fèi)模塊的演變進(jìn)程,可以看出該模塊具有較多變種�����,并且更新頻繁�����,經(jīng)過多次升級后����,其功能逐步趨于完善,隱蔽性也在進(jìn)一步增強(qiáng)����。
其執(zhí)行惡意監(jiān)控、收發(fā)讀寫短信的代碼片段如下:
安全建議:
病毒作者在獲取到手機(jī)ROOT權(quán)限后�����,就擁有了手機(jī)控制權(quán),可以“為所欲為”���,就像一顆“定時(shí)炸彈”��,移動互聯(lián)網(wǎng)的今天���,手機(jī)已成為人類“新的器官”,其承載了我們太多的個(gè)人信息�,為保障個(gè)人隱私和財(cái)產(chǎn)安全,360安全大腦建議:
1. 尋找“360手機(jī)衛(wèi)士”神助攻:360安全大腦始終保持對Android Native病毒動態(tài)的密切關(guān)注���,并已支持上述病毒的全面一鍵查殺,擔(dān)心手機(jī)安危的小伙伴們�����,可以及時(shí)通過360手機(jī)衛(wèi)士官網(wǎng)及各大軟件市場安裝/更新360手機(jī)衛(wèi)士�����,對愛機(jī)進(jìn)行一次全面“體檢”;
2. 使用廠商官方ROM:第三方ROM刷機(jī)包也是Android Native病毒傳播渠道之一�����,市面上的ROM包“魚龍混雜”,切記不要隨意下載刷入安全性未知的第三方ROM;
3. 通過正規(guī)手機(jī)應(yīng)用市場下載安裝APP:五花八門的應(yīng)用下載網(wǎng)站是Android Native病毒的藏身樂園�����,普通用戶難辨網(wǎng)站真?zhèn)�����,通過正規(guī)手機(jī)應(yīng)用市場下載安裝APP可有效規(guī)避中招風(fēng)險(xiǎn);
4. 及時(shí)更新系統(tǒng)及補(bǔ)�����。及時(shí)升級系統(tǒng)���、安裝系統(tǒng)更新補(bǔ)丁可有效降低漏洞利用風(fēng)險(xiǎn)����。
相關(guān)C&C服務(wù)器信息:
相關(guān)APK列表:
