【技术分享】“六棱镜”手机病毒分析报告

【技术分享】“六棱镜”手机病毒分析报告

2017-05-31 15:46:10

阅读：995次
点赞(0)
收藏
来源： 安全客







作者：360安全卫士

概述

近期，360安全中心连续收到用户反馈，手机感染了一种难以清除的病毒。该病毒一旦运行，手机设备将不断弹出广告，自动下载、安装和启动各种恶意应用。常规手段无法彻底清除该病毒，手机一旦重启该病毒立刻“复活”，并导致某些安全软件无法响应。

经过深入分析调查，得出此病毒几个重要特征。推广方式比较特别，可以在界面生成诱导性图标；扣费方式主要是通过一些色情信息引诱用户支付；通过禁用安全软件和修改安全软件本地白名单的方式对抗杀软；病毒结构各分支细节非常复杂，用上了几乎所有最近流行的对抗分析手段。由于病毒伪装方式多样、迷惑性强并且结构复杂，我们将其命名为“六棱镜”手机病毒。

影响

“六棱镜”病毒运行后，动态加载Root模块，把扣费、推广等核心模块写入系统分区，并与conbb建立本地socket通信，执行控制命令。凭借使用ollvm加固混淆、禁用安全软件、替换系统文件等手段，短短三个月就已达到上百万次感染。感染范围覆盖全国各地，受影响比较严重的是沿海地区。

(一) 传播途径

生活服务类应用和色情诱惑类等刚需应用是“六棱镜”病毒最大的感染途径，这类应用主要通过用户主动下载或被动推广安装进行传播。

重打包、伪装热门游戏应用和工具软件诱导用户下载。

伪装系统应用：系统升级、系统设置，内置系统ROM中。

(二) 感染分布

1. 全国地区感染分布

据360互联网安全中心监测到的数据， 2017年1-4月“六棱镜”病毒平均月新增40W，累计感染量已达百万级。其中广东省、河南省、山东省、四川省是感染重灾区。

2. 受感染Android版本分布

从感染的手机系统版本来看，Android4.4、Android4.2、Android4.3和Android4.1成为感染集中区，低Android系统版本用户设备极度危险。

恶意行为

a) “六棱镜”病毒采用了比较特别的推广方式，远程接受控制命令，静默下载、安装和启动恶意应用，并在界面生成诱惑性图标，诱导和欺骗用户点击。

b) “六棱镜”病毒一旦运行，将会不断弹出全屏广告，这类广告主要包括色情应用、热门游戏和清理软件，并弹出安装和支付按钮，诱导用户点击。

c) 同时我们监控到“六棱镜”病毒具有禁止安全软件联网、禁用安全软件，把病毒自身母包信息写入到安全软件本地白名单中的恶意行为。

技术分析

(一) 执行流程图

“六棱镜”病毒各分支细节极其复杂，但是整体入侵过程与病毒常用执行流程相同：初始化信息、获取云端指令、下发Root方案，扎根系统、恶意推广。

(二) 病毒行为

1. 初始化信息

初始化广告SDK渠道信息。

初始化待禁用安全软件列表。

生成Shell脚本进行进程守护。

初始化网络通信。

2. 获取Root权限详细过程

Root提权模块是“六棱镜”病毒生存的关键模块。母包初始化完成后，立即从网络服务器下载Root提权模块sh.jar，该文件包含一系列与Root相关的文件。

动态加载rootDex.dex，调用getDex()尝试获取Root。

rootDex文件结构。

拷贝su、busybox、病毒APK到/mnt/sdcard/.xxx/目录下，su2更名为suc。

执行suc尝试获取Root权限。

suc释放动态库.xinyi1678410242，调用so中nu82f9uh2sfs()方法执行Root方案。

调用Root大师的Root方案进行提权。

3. 恶意行为详细分析

Root成功后,拷贝病毒母体进/system/app目录

连接服务器接收云端指令，下载安装各种推广程序。

启动多个进程进行相互守护。

并将自身包信息写入到安全软件本地白名单中，绕过本地安全检查。

禁用安全软件，导致手机应用异常崩溃。

溯源

我们动态抓取到“六棱镜”病毒与服务器通信内容。本次病毒向服务器请求的获取安装APK，可以从中看到服务器返回APK下载链接、访问时间、是否加密等其他信息。

通过分析APK回连地址，我们发现病毒服务器上存在大量恶意程序，包括Root程序、恶意推广程序以及病毒更新程序。

相关病毒使用证书MD5。

“六棱镜”病毒使用网址信息。

“六棱镜”病毒服务器集群IP。

“六棱镜”病毒域名与IP关联性直观图如下：

总结

移动端病毒经历了从应用层到系统底层的重大演变后，替换系统文件、禁用安全软件、多个进程相互守护复活已然成为众多病毒作者的“常规武器”，禁止安全软件访问网络、修改安全软件病毒库已成为病毒作者突破本地防御系统的“新型武器”。

本文着重描述了病毒的关键功能信息，其底层模块结构非常复杂。比如/system/xbin/gpsrd、/system/xbin/conbb等病毒核心模块，均使用了去年Android端底层病毒常用的对抗手法，如ollvm编译、md5自变换、复杂的多进程守护以及众多反调试手段等。并且在后续版本中各模块代码功能完善，结构复杂，一定程度上加大了查杀难度。

值得注意的是六棱镜核心模块/system/xbin/conbb与百脑虫的核心模块conbb不仅名字相同，代码和功能相似度也很高。结合其对抗手段全面、结构复杂、功能完善的特点，可以看出“六棱镜”病毒吸收了以往各病毒家族的经验，这种发展方式使得Android端病毒的发展速度将会变得更快。

本文由 安全客 原创发布，如需转载请注明来源及本文地址。
本文地址：http://bobao.360.cn/learning/detail/3924.html