手电筒惊现海量Root病毒:私自扣费、强装病毒、恶意弹窗。近期出现的手电筒root病毒,一旦在手机上成功安装后,即会通过私自发送扣费短信订制包月业务,造成用户话费损失,并注入大量恶意elf文件至手机system目录,危害用户手机系统安全。此外,此类病毒还会私自下载并安装大量恶意软件和推广软件到用户手机系统、 匿名弹出大量恶意广告,从而造成资费消耗并影响用户正常使用手机。
1.用户量情况
根据特征共找到575个样本;
Rom内周用户量:2441
Rom外周用户量:9736
Rom内用户量最高的样本:313
Rom外用户量最高的样本:5572
2.恶意行为
1)私自发送短信
部分私自发送的短信相关信息
2)恶意广告
在手机桌面弹出恶意弹窗广告
在手机桌面生成恶意广告桌面快捷方式
在手机桌面生成banner广告
通知栏推送大量广告
3)注入elf文件至手机/system/xbin与/system/bin,/system/lib目录
4)静默安装大量软件在手机rom内
4.病毒执行流程
流程图:
1)私自发送扣费短信行为简析
软件启动后解密assets目录下的文件cj.jar生成cj.dex
并调用com.yhmm.pdh.ExternalMain类中的getInstance方法进行初始化,并通过此模块监听拦截用户的短信
发送扣费短信
通过网络获取扣费信息内容
通过\lib\armeabi\libdlctqdi.so加载其他模块
2)恶意广告及私自下载推广软件模块简析
加密dex文件assets/res.zip被解密后存放在/data/data/com.adm.fran.lights/app_cache/res.zipDex文件包含打了的加密字符串,对其字符串进行解密,可以看出此文件用于获取广告。
通过对字符串解密可以看到广告信息,私自下载的推广软件来自域名http://dws.m*appservice.net及sdk.76.com