• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

安天AVL联合小米MIUI首擒顽固病毒“不死鸟”

安全技术 网络收集 1年前 (2016-12-29) 245次浏览 0个评论

不死鸟作为希腊神话中的一种怪物,拥有不断再生的能力,每当寿限将至时,它会在巢穴中自焚,并在三天后重新复活。近期,安天 AVL 移动安全团队和小米 MIUI 安全中心发现了病毒界的“不死鸟”,其顽固程度之深,用户很难通过常规的卸载手段清除该病毒。

这款病毒名为 Fushicho,一旦运行,它首先会通过一系列手段攻击手机的“免疫系统”:联网下载 root 工具对用户手机进行提权处理,进一步根据文件中的 sql 语句将自身插入某知名杀毒软件白名单中,并通过“pm disable”命令禁用某知名杀毒软件,致使手机安全防护功能全线崩溃。

接下来 Fushicho 病毒会替换系统启动脚本文件,实现开机自启动并获得 root 权限。而为了使其自身成为手机中唯一具有 root 权限的应用,该病毒会删除手机中其他 root 程序、su 文件。除此之外,由于病毒应用被锁在系统目录下,用户很难通过常规卸载手段清除该病毒。

至此,Fushicho 病毒将紧紧扎根在手机中,像不死鸟一般难以消灭。同时该病毒将通过联网获取恶意扣费指令对手机进行长期的扣费并下载其他恶意扣费软件,使感染用户遭受巨大的财产损失。

接下来,我们将对这只病毒界的“不死鸟”进行详细的解剖分析。

Fushicho 病毒运行流程图

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

详细分析

私自提权

Fushicho 病毒运行时加载本地 Pxivuurauu.so 文件,解密资源文件中的 ico.png 文件来释放子包 oko.jar。子包释放后被动态加载,并在本地解密。Fushicho 病毒获取到提权工具下载地址后下载并解密,获取提权工具包 cab.zip,解压并加载其中的 data.jar 文件,对用户手机提权。

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

获取提权工具下载地址:

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

解压后的文件如下所示:

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

各文件功能及作用如下表所示:

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

提权工具包结构:

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

将自身写入某知名杀毒软件白名单

Fushicho 病毒运行时解密 root 工具包中的 ql 文件获取将自身插入某知名杀毒软件白名单的 sql 语句,通过 qlexec 文件打开数据库并执行 sql 语句,将自身插入某知名杀毒软件白名单中来逃避检测。

ql 文件内容如下:

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

删除提权相关文件

Fushicho 病毒在获得 root 权限后会删除手机中其他的 root 相关文件和 apk 程序,将下载提权工具包 cab.zip 中的 su 文件分别重定向到/system/xbin/.sysd,/system/bin/android.sys,/system/etc/android.sys,/system/etc/android.sys 中。

删除其他 root 权限:

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

将 su 文件重定向到系统目录中:

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

禁用某知名杀毒软件

Fushicho 病毒通过“pm disable”命令禁用某知名杀毒软件,将该软件停止使用,并隐藏图标和已安装应用列表中的展示,致使用户无法找到该应用也无法重新安装该应用。

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

为了验证该命令的效果,我们测试了一下:

Step1:安装某知名杀毒软件,可以在已安装应用程序中看到该应用

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

Step2:使用 pm disable 命令

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

Step3:在已安装应用中查找该应用,已经找不到该应用了,说明该应用已被成功禁用

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

Step4:用命令行工具查看 data/app 下的应用列表,可以看出该应用是存在的

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

Step5:如果尝试在手机中再次安装该应用,提示已安装

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

替换系统脚本文件

Fushicho 病毒运行时会替换系统的启动脚本文件 install-recovery.sh、install-recovery-2.sh,新的脚本文件将在手机启动后立即给 Fushicho 病毒赋予 root 权限。

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

脚本运行时以守护进程的形式启动对应目录下的.sysd 和 android.sys 文件

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

恶意扣费

Fushicho 病毒的扣费模块通过监听用户解锁、网络变化以及手机开机的系统广播启动,付费模块启动后联网获取付费短信数据和要拦截的短信关键字。

并联网向 hxxp:// http://www.mmchong[.]com 上传用户设备信息,获取短信相关扣费短信数据。

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

扣费短信数据解密后如下,其中字段 port、cmd 对应的是要发送的号码和内容,字段 hport、hcmd 对应的是要拦截的号码和短信内容,Fushicho 病毒通过以上字段进行恶意扣费而用户无法感知。此外 Fushicho 病毒还会拦截包含“银行”和“快递”关键字段的短信。在接收到包含 msg 字段的值的短信时还会自动回复短信或联网发送拦截的短信。

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

推送恶意应用

Fushicho 病毒运行时解密 root 工具包中的 data0 文件,通过解析文件中的指令将 root 工具包中的恶意应用推送到系统目录下并启动。在推送时将这些恶意应用加锁,并修改创建时间为 2008-01-01 00:00,伪装成系统应用让用户难以察觉。

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

推送的恶意应用:

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”

总结

总体而言,Fushicho 病毒一旦运行,将会通过攻击感染手机安装的杀毒软件来使整个手机的“免疫系统”形同虚设,并采取一列后续手段将其自身紧紧扎根于手机中,用户很难通过常规卸载手段来清除。此外,从上述攻击步骤可以看出,Fushicho 病毒非常注重 root 权限,从自身提权,到删除其他 root 工具,再到替换系统启动脚本,使自身可以在系统启动的第一时间得到 root 权限。这一系列操作之后,Fushicho 病毒成为系统第一个也是唯一一个有 root 权限的应用。 在保证“不死”的情况下,“不死鸟”(Fushicho)病毒将通过发送恶意扣费短信持续对用户的财产造成损害,危害极大。

安全建议

针对 Fushicho 系列病毒,集成 AVL 反病毒引擎的 MIUI 安全中心已经实现全面查杀。安天 AVL 移动安全团队和 MIUI 安全中心提醒您:

  • 请不要轻易 root 手机,否则您的手机将遭受巨大的安全风险;
  • 请勿在非官方网站或者不知名应用市场下载任何应用;

安天 AVL 移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。AVL 移动反病毒引擎致力于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前除了为小米 MIUI 输送安全能力外,也与其他众多知名厂商达成战略合作,为猎豹、阿里云 YunOS、OPPO、VIVO、步步高、努比亚、LBE、安卓清理大师、AMC 等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。

作者:安天 AVLTeam

 


Selinux 中国 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:安天 AVL 联合小米 MIUI 首擒顽固病毒“不死鸟”
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址