百脑虫手机病毒分析报告.docxVIP

“百脑虫”手机病毒分析报告 360互联网安全中心 背景 2015 年末，360移动安全团队不断收到用户反馈，手机中莫名其妙地被下载安装其他应用、手机自动订阅扣费服务等问题，手机还原出厂设置后，问题依旧无法解决。类似的用户反馈近期越来越多，经360移动安全团队的跟踪发现，引起此类症状的元凶为一linux系统层病毒。该病毒的核心模块包括一个ELF系统文件conbb（configopb）及一个伪装系统应用的APK文件core，通过这些文件，我们发现病毒提供了一整套完善的实现和接口，能够被不同的APK应用方便的打包调用，进而造成该病毒被广泛传播，影响恶劣。据后台数据分析，打包该病毒模块的应用达数百种之多，因此，我们该病毒命名为“百脑虫”病毒。 通过搜索引擎能够轻松的发现中招网友的反馈： 图1 “百脑虫”感染网友反馈 传播 “百脑虫”病毒是以插件的形式嵌入各种应用程序里面传播的，其中又以本身就有很多问题的色情类应用和一些受欢迎的高广应用居多，这些被重打包的问题程序通过第三方电子市场或某些色情类网站进行疯狂传播。 1、色情视频类应用 嵌入百脑虫病毒的色情类APP的名称具有极高的诱惑性，如成人影院、媚娘影音、干姐姐视频、禁播视频等。一旦“宅男”用户对这些极其诱惑性的APP名称经不起其诱惑，点击安装此类应用即可中招。 图2 嵌入百脑虫病毒的色情类应用 2、高人气正常应用 具有较高人气的正常应用也是百脑虫病毒传播的重灾区。如千炮捕鱼新年版、极品时刻表、全名挖钻石等都被别有用心的病毒作者篡改，嵌入了百脑虫病毒。如用户安全意识薄弱，未通过官方或正规第三方电子市场下载安装此类应用，很容易被百脑虫病毒感染。 图3 嵌入百脑虫病毒的正常应用 病毒介绍 百脑虫病毒模块关系如图： 图4 百脑虫模块关系 打包百脑虫的应用启动后，会提权释放一个无图标的APK到系统应用路径里，此APK在后台默默运行，用户难以发觉。此APK就是百脑虫病毒的核心模块，它主要功能有检查安全软件、劫取用户隐私、静默推广安装其他应用及病毒文件等。 百脑虫执行流程图如下： 图5 百脑虫执行过程 1、打包百脑虫的应用启动后，首先从assets文件夹中的加密数据文件中解密所有重要模块。其中包含第三方root提权工具、su文件、core核心模块、conbb病毒安装脚本、install-recovery.sh等。 2、判断用户手机是否处于root状态。如果不是root状态，将用户机型、系统版本等信息上报给云端，并从云端下载与机型、系统版本相应的已知漏洞的root提权文件，使用第三方工具执行root提权。 3、提权成功后将core模块复制到/system/app下成为系统应用，使用户无法通过正常方法卸载此应用。 4、core模块一直运行在后台，判断自己是否处于安全厂商沙箱环境中，如果是，则直接退出不做进一步行为。 5、core模块判断是否有安全软件服务在运行，如果是，尝试强制终止其服务进程。 6、core模块删除所有其他root工具及root授权管理应用，使其他应用无法获取root权限。 7、周期性地从后台静默下载安装众多其他应用及病毒文件。 详细分析 1、百脑虫重打包代码 百脑虫病毒是被其他应用重打包后传播的，一个被重打包的应用，入口函数中会加入一行病毒的启动代码。此应用运行时，百脑虫病毒代码将获得执行权限。 图6 百脑虫病毒的启动代码 病毒代码执行以后，从assets文件夹的krLib（文件名可变）加密数据文件的起始64个字节获取密钥KEY及配置相关信息。 图7 获取密钥及运行相关配置信息 从实际病毒样本中获取的密钥为“10249832931963293212373431424213”，运行 相关配置信息为“00000000000000010000000000000336”。密钥会用在解密百脑虫病毒其他模块及字符串。 母包APP层的解密算法有两种：dn_1、dn_2。dn_1是用来解密其他百脑虫相关模块，dn_2是用来解密关键字符串。 图8 加密的关键字符串 图9 解密函数 用已取得的密钥配合解密算法，可以还原关键字符串： 图10 解密后代码片段 图11 解密后百脑虫文件 此后，百脑虫会检测运行环境是否真实，如果检测到沙箱环境，病毒会自动退出。 通过环境检测以后，病毒判断系统是否存在文件“/sytem/bin/conbb”、“/system/xbin/conbb”、“/system/bin/su”、“/system/xbin”中的任何一个或服务进程“ernal.server”。如果是，则说明手机已经处于root状态，检验结果上报给远程服务器并执行后面的流程，如果病毒判断手机未root，则加载librgsdk.so模块执行root提权。librgsdk.so原本是正规厂商的root提权模块，但由于对