背景介绍
赛门铁克的研究人员最近在中国的一些应用程序商城、论坛、下载 站和流行的 交 络中发现了一个伪装成色情应用程序的恶意工具包(将其标识为Android.Rootnik.B)。
该恶意工具包伪装成成千上万个色情应用程序,主要针对中文用户进行感染,主要功能包括:
Root被感染的Android设备向合法的应用程序中注入恶意代码订阅服务、发送短信息默默下载/安装有风险的应用程序
这些恶意的应用程序通过应用程序商城、论坛、下载 站和流行的 交 络等途径进行分发,寻找潜在的感染目标。
感染向量
分析发现,恶意软件将其主要的有效载荷隐藏在应用程序资源里的一个虚假的.tiff图像中,有效载荷通过一些辅助的Web服务器下载其他恶意组件。除此之外,恶意软件还采取了一些技术手段逃过检测,确保文件不会被精明的用户或防病毒程序删除掉,同时恶意软件也试图取代debuggerd,以此确保不受防病毒软件的影响甚至在系统重置后仍能继续存活。
Root被感染设备的工作流程
恶意软件会解密并动态加载隐藏的有效载荷(被标识为Android.Reputation.1)。通过与C&C服务器进行通信获取到root相关的配置信息,相关的C&C地址列表如下所示:
http://gr.[REMOVED].pw:[REMOVED]/kitmain.aspx
http://gr.[REMOVED].top:[REMOVED] /kitmain.aspx
http://43.[REMOVED].68.193:[REMOVED]/kitmain.aspx
http://nr.[REMOVED].com:[REMOVED]/kitmain.aspx
http://nr.[REMOVED].com:[REMOVED]/kitmain.aspx
恶意软件开始尝试root被感染的设备时,可能会遭遇失败,这时候它会多次尝试,直至成功。下图展示了一个恶意软件下载rootkit的代码示例:
图2:C&C服务器的响应(示例)
恶意软件注入机制
获得root权限后,恶意软件会选择一个合适的进程(如系统进程或app-store进程)执行恶意代码的注入。
注入的代码会启动一个UNIX域服务器套接字,触发监听命令,现在恶意的客户端实体(设备上的应用程序)就可以命令受感染的进程,并以该进程的名义进行恶意活动,例如发送一些诱饵消息。
其他功能
http://1jope[REMOVED].com/ister59.apk?attname[REMOVED]1508999147941
恶意软件还可以在未经用户同意的情况下下载并动态加载来自其他URL的其他有效载荷:
http://vpay.[REMOVED].eerichina.com/[REMOVED]/19c32fb8ebc57b6e.jar
http://120.[REMOVED].154.102:[REMOVED]/plugin_VA5.1.1.jar
此外,还支持订阅服务和短信发送,通过广告推送的形式传播其他恶意应用程序。
受影响的平台版本
所有Android API level 8 (2.2)及更大的设备都会受到影响。
即使某些平台版本较高的设备不能被root,恶意软件仍会发送短消息。在这种情况下,恶意软件只能借此进行欺诈活动。
值得一提的是,恶意程序的代码是高度模块化的,这意味着它可以很容易地重新打包成任何其他受欢迎的应用程序。
此外,恶意软件使用了一个私人开发的加壳器,对恶意代码进行了混淆并加密了关键字符串,目的是绕过一些基本的静态分析和检测。
安全建议
为保护您的设备安全,建议您遵守以下安全最佳实践:
阿里聚安全
阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品,面向企业和开发者提供互联 业务安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!