Android.KungFu手機病毒來襲安卓小心流量
作者:eoe.cn (优亿网)
日期:
2011年是Android設備爆發的一年,越來越多的朋友都享受到了智能機給生活帶來的便利,但與此同時,越來越多的惡意軟件也盯上了這個系統。下面,筆者就為大家分析一款目前流行的惡意軟件Android.KungFu系列變種,並且介紹針對這一病毒的解決方案。
Android.KungFu手機病毒介紹
Android.KungFu最早在6月份被安全廠商截獲,隨後又出現了至少3種不同的變種,截止到發文為止,這款病毒仍然在不斷演化。 KungFu系列病毒的特徵非常典型,感染此病毒的手機會自動在後台靜默下載並安裝某些軟件,當手機感染此病毒後使用常規安全軟件無法徹底清除,甚至將手機恢復至出廠設置也無法解決問題。
這款病毒通常會捆綁在某些合法軟件內,在第三方Android應用市場和論壇中傳播,常見的宿主包括一鍵XXX(免費)、音樂隨身聽等,截止到發文為止,LBE團隊已經通知各大第三方Android應用市場和論壇關注該類型的應用。
Android.KungFu手機病毒分析
Android.KungFu整體架構由兩個模塊構成,第一個模塊(Loader)會在宿主運行到特定場景時激活,隨後執行提權操作,並加載第二個模塊(Payload),Payload模塊則常駐內存,執行各種威脅手機安全的操作。 Android.KungFu不同的變種之間,區別主要在於不同的Loader,Payload模塊則基本相同。
當Loader模塊被激活後,首先會試圖獲得ROOT權限。根據宿主軟件的不同,Loader會採用不同的策略,如果Loader宿主本身需要ROOT權限, Loader就會附著在宿主需要以ROOT權限執行的代碼之後運行(例如一鍵XXX免費版,其中捆綁的Android.KungFu會嵌入在安裝XXX的代碼中)。如果宿主本身不需要ROOT權限,Loader會利用公開的漏洞(NPROC_RLIMIT)在後台靜默獲取ROOT權限(例如音樂隨身聽)。由於這個漏洞廣泛的存在於Android2.1和2.2設備上,所以,即使手機沒有ROOT權限,多數手機依然會受這個病毒威脅。
然後,隨後,Loader會進行以下操作(不同的變種具體細節可能不同):
1. 將系統分區設置為可寫
2. 獲取設備信息,包括系統版本,手機品牌,Device ID,SDK版本等數據,寫入mycfg.ini,並將此ini文件複製到/system/etc下重命名為.rild_cfg
3. 使用AES加密算法解密Payload(Payload通常保存在宿主的assets中,名為Webview.db.init),並將Payload複製以下位置:
● /system/etc/.dhcpcd
● /system/xbin/ccb
● /system/bin/installd(將原始文件備份為/system/bin/installdd)
● /system/bin/dhcpcd(將原始文件備份為/system/bin/dhcpcdd)
● /system/bin/bootanimation(將原始文件備份為/system/bin/bootanimationd)
4. 恢復系統分區為只讀,並執行/system/xbin/ccb
至此,Payload已經完成金蟬脫殼,從宿主APK中成功的被釋放出來了。由於病毒替換的關鍵系統文件(installd, dhcpcd, bootanimation)在開機過程中會自動啟動,因此病毒實際上具備了以ROOT權限開機自動啟動的能力。同時,由於Payload已經脫離APK 藏身於系統分區內,即使安全軟件檢測到病毒,也無法進行清理操作。
當Payload隨系統自動啟動之後,會嘗試連接以下地址,獲取攻擊命令:
● http://search.gongfu-android.com:8511
● http://search.zi18.com:8511
● http://search.zs169.com:8511
由於Payload感染了多個系統進程,為避免相互衝突,當任意一個Payload進程連接至控制服務器後,便創建/system/etc/dhcpcd.lock文件鎖來進行進程(process)同步。
目前Payload已知的功能包括:
● 自動下載APK軟件包至本地
● 靜默安裝APK軟件包
● 啟動指定APK軟件包
● 靜默卸載APK軟件包
● 設置瀏覽器首頁(未使用)
至此,病毒就會源源不斷的向受感染的手機中自動下載並安裝軟件,從中獲取高額利益了。
文章提供/責任編輯:优亿网 (本文經优亿网同意轉載至仕橙部落)