安卓党注意！“刷赞狂魔”病毒来袭，小心秒变“僵尸粉”！

活跃于交络的“点赞狂魔”，已见怪不怪，现如今，却有一种病毒版的“刷赞狂魔”，活跃络。近日，360安全大脑详细披露了一种兼容安卓64位的Android Native病毒——“刷赞狂魔”。

中招秒变“僵尸粉”

“刷赞狂魔”借色情应用扩散

不同于一般病毒，“刷赞狂魔”病毒十分狡猾。从360安全大脑追踪数据看来，该病毒不仅能通过修改系统文件、云控加载等技术手段躲避杀毒软件，还会利用CVE-2019-2025（水滴漏洞）等多个Android系统漏洞获取手机最高的ROOT权限。这也就导致，一旦手机感染该病毒，将被植入大量难以删除的底层恶意模块，惨变“工具人”之余，还可能碰到恶意扣费的情况。

（“刷赞狂魔”病毒伪装的几种典型应用）

综合360安全大脑监测数据而言，该病毒可使用多个Android系统漏洞获取手机最高ROOT权限，修改系统文件(aee_aed/debuggerd)，利用SVC指令隐蔽地加载病毒主体文件，和云端下载payload（载荷），使用自定义加密算法，保护自身不被杀毒软件发现。

ROOT提权刷赞扣费三步走

“刷赞狂魔” 蛇皮走位躲杀软

“刷赞狂魔”病毒感染手机后，会先从云端服务器下载ROOT提权工具包，解密并释放病毒主体文件kms_02ext，以获得更高的手机ROOT权限，用以执行刷赞、刷阅读量和恶意扣费等不法操作。经360安全大脑分析指出，“刷赞狂魔”病毒从云端下载ROOT提权工具包前，其实会有一个复杂且隐蔽的准备阶段。

当用户无意中下载了带有病毒的应用时，打开应用界面，会先看到转圈加载等待画面。这时，应用其实在“暗度陈仓”，偷偷上传用户手机、设备信息，并下载ROOT提权工具包等其他功能模块，为获取手机ROOT权限等恶意行为做准备。这一过程中，该应用会释放并下载近50个jar文件。

为了让更多的用户中招，该病毒应用还会在虚假色情应用显示的视频页面，显示用户评论以增加可信度，打消用户防范心理。而经360安全大脑溯源分析发现，视频页面评论及ID，均为预先设定内容，只是为了进一步迷惑用户。

此外，该病毒应用还使用了多个数据库文件，分门别类存储对应信息。

该病毒dfsywwy.data数据库中存储了大量待下载jar文件，插件数目之庞大可见一斑。具体如下：

当病毒应用释放的ss.jar文件成功从云端下载upnpclz.apk后，也就为进一步下载ROOT提权工具包做好了准备。

第一步：ROOT提权

upnpclz.apk加载起来后会检查更新，并从云端下载ROOT提权工具包imgs_9.zip，解密后得到upz_5压缩文件。

接下来，其会加载libkm05.so（64位手机则是libkm05_64.so），并调用其中的2个JNI函数，解密km01以释放“刷赞狂魔”病毒主体文件kms_02ext。

至此，病毒主体文件kms_02ext运行后，会最终释放“刷赞狂魔”病毒核心作恶模块km09_2970.so，并调用km09_2970.so的func_3( )函数，完成ROOT提权、释放核心elf文件等操作。如此漫长的释放链，可以说“刷赞狂魔”病毒的求生欲十分强烈。

需要注意的是，func_3( )函数中，病毒首先会向C&C服务器POST设备信息，识别手机型，以选用合适的提权方案获取手机ROOT权限。在这一过程中，病毒主要使用了CVE-2013-2595、CVE-2016-5195（脏牛）、CVE-2019-2025 （水滴）等漏洞实现手机ROOT提权。

第二步：短视频刷赞

成功获取手机ROOT权限后，核心作恶模块km09_2970.so会从云端下载解密短视频刷赞模块v15.zip（解密后为一个SO文件），并加载该SO文件的do_main( )函数，用于下载并解密v18_u.zip，其为完全解密的“刷赞狂魔”病毒主体文件kms_02ext，当病毒主体被删除后，仍可通过该方式“满血复活”。

接着，libdy.so会读取短视频应用的
token_shared_preference.xml、applog_stats.xml、Cookies文件获取自动刷赞所需的用户token等个人登录信息，构造完整的短视频刷赞请求URL，并通过解析返回结果”status_code”、”is_digg”参数值，判断刷赞是否成功。

第三步：恶意扣费

如果说，病毒刷赞是把普通用户变成“工具人”，那么接下来的恶意扣费，就直接危及用户的钱包。这次，病毒释放的恶意模块km09_2970.so，会把恶意文件1.so、jarop.dex.jar注入com.android.phone进程，以监控收发读写手机短信，甚至私自订阅付费业务，并拦截扣费短信。

该病毒执行短信屏蔽的恶意代码片段如下：

安卓党注意！“刷赞狂魔”病毒来袭，小心秒变“僵尸粉”！

相关推荐