“九头虫”病毒技术分析 告

一、背景介绍

近日，阿里移动安全收到多方用户反馈，手机中了一种难以清除的病毒。病毒一旦发作，设备将不断弹出广告，并自动下载、安装、启动恶意应用，最终设备衰竭而死，用户很难通过常规的卸载手段清除病毒。由于该病毒有多个版本演变并有起死回生之术，我们将该病毒命名为“九头虫”。

中毒设备将作为“九头虫”病毒的僵尸设备，每天推送上百万广告，其点击率大概15%（主要是病毒自身的模拟点击），也就是说每天广告点击上10万次，再加上静默安装与欺骗安装，每成功安装激活赚取1.5~2元，如此收益不菲！

二、“九头虫”传播途径与感染数据统计

2.1、传播途径

2、每月设备感染趋势

从每月设备感染趋势图可以看出，“九头虫”病毒爆发周期是4～5个月，在随后的4～5个月每月感染数下降，这正好也是病毒变种的一个周期。最近在8月初达到峰值，随后几月将是衰减期。

3.1、病毒母包

母包的MyApp组件是恶意代码入口点，完成libOgdfhhiaxn.so加载和assets目录下xhmf文件解密加载，随后“九头虫”病毒分别进行注入rom病毒和恶意推广。

↑请求获取提前工具包下载地址图

提权工具包中文件以及功能如下表：

↑动态加载执行data.jar图

（2）植入恶意app

将root工具包下的恶意app，以及libdataencrypt.so 植入系统目录，并使用chattr +ia命令使得用户无法正常卸载，最后以服务启动恶意app。注意下图红色框中，将rom病毒lol.qv907a.Cqenthyrusxncy.apk备份到/system/etc/rom.dat，该病毒会在su和sud文件的守护下，一直运行在设备rom中。随后的第5点详细分析。

（4）禁用杀软

执行“pm disable”禁用多家知名杀毒软件。

（5）守护rom病毒

病毒通过替换系统服务，以致开机运行拷贝到/system/etc/目录下的守护模块，这里病毒替换了debuggerd和install-recovery.sh。这样深深植入rom的病毒，通过普通的恢复出厂设置，以及进入recovery&wipe data都无法清除。

↑静默安装

“九头虫”通过解析服务端返回的数据，对包含“silencePackageUrl”字段的应用进行静默安装。恶意推广数据来自http://in[.]stidreamtrip.com/ni.do，每次请求上传设备信息，包括目前位置、连接 络类型、设备 等。以下是将服务端返回的数据解密，获取推广的应用信息。

下图解析“silencePackageUrl”字段信息进行静默安装。

xiaoaisup释放的各文件功能及作用如下表格：

设备成功root后，使用自身释放的ppm对应用进行静默安装。

四、“九头虫”C&C端分析

前两条来自国内某云，用来存放加密的提权工具包，第三条是病毒破解某知名root接口后，直接从root精灵下载root方案，这里我们主要分析最后两条域名。stidreamtrip.com站点用来存放加密root工具包xiaoaisup，以及恶意推广的数据。相关url如下：

通过域名备案查询发现，stidreamtrip.com是重庆一家广告投放公司，目前该站点首页已不能访问，但存放的恶意文件任可下载。

我们继续通过域名whois历史中涉及的qq邮箱追踪，下图伪装成广告主与公司负责人聊天。

五、安全建议