权限杀手新变种分析报告


发布人:admin分类:网络安全浏览量:21发布时间:2017-12-12

概述

2013年,ROM级内嵌手机病毒“权限杀手”曝光,该病毒通过删除其他应用获取系统ROOT所使用的关键文件,达到自己不被其他应用获取系统ROOT删除的目的,进而实施一系列作恶行为。通过云数据分析,该木马在近一年多的时间持续活跃,并且在2015年上半年突然爆发。

此次爆发的权限杀手最新变种,其系统模块、作恶手段均有所改进。通过调查分析,木马主要内嵌在手机ROM中通过刷机网站快速传播,此外还包括部分水货手机用户,到目前为止,国内受影响用户达50万之多,其中超过60%是近半年内新受到感染的用户。

到目前为止,国内刷机市场累计有接近300 个ROM预置了该木马,数量还在进一步增加,其中超过80%的ROM是今年上半年发布的。

这些ROM主要影响的手机品牌包括三星、联想、华为、酷派、小米、HTC等,几乎涵盖了所有市场主流的Android手机品牌。

我们对权限杀手手机病毒影响地区进行分析,发现该病毒除了主要感染国内用户外,全球范围的手机用户也有感染的迹象,对国外用户的感染主要集中在三星品牌的手机中

权限杀手国内用户感染分布

图上可以看到,国内用户感染最严重的地区出现在两广地区,该地区也是国内水货手机和刷机用户最集中的地区。

权限杀手国际用户感染分布

图上可以看到,国际用户感染最严重的出现在印尼和土耳其地区。

分析

权限杀手会删除手机的授权管理文件,阻止其他应用获取ROOT授权,保证自身不被安全应用删除,同时进行下载、推广、刷流量等恶意行为。在最新变种中,木马主要包括3个模块:

PageViwer和searchcone是预置在ROM中的模块,PageViwer通过注册监听BOOT_COMPLETED和CONNECTIVITY_CHANGE的系统广播,完成恶意代码的启动。

PageViwer消息注册

PageViwer启动之后会收集用户手机信息,将信息发送至远端服务器,服务器根据手机信息判断需要分发的云端指令,PageViwer接收指令并完成指令解析。此后,PageViwer会将指令推送至searchcone模块执行,并下载启动Markserv模块。

PageView接收的云端指令格式

searchcone是预置在ROM的另一个模块,该模块主要负责指令的执行,它首先会检测输入参数,在参数正确的情况下获取ROOT权限,最后执行命令。

searchcone命令列表

Markserv是PageViwer下载的一个模块,由searchcone进行安装执行,但在部分ROM中,我们也发现了被预置的情况存在。

Markserv功能有:

1. 执行创建桌面快捷方式;
2. 清空自身程序数据;
3. 停止自身程序;
4. 刷流量,打开指定的网页;
5. 启动腾讯广点通广告;
6. 启动AdMob广告;
7. 发送短信;
8. 屏蔽短信;
9. 添加书签(最新版本添加的功能);

在权限杀手整个进化过程中,不可忽视的一点是,从早期将searchcone的文件名硬编码到APK中不同,最新版本的权限杀手,已经将APK和ELF之间的关联完全切断,APK需要操作的ELF文件名,完全由云端传入。这样,根据当前APK找到对应ELF文件将非常困难,由于ELF功能单一,并且参数检测严格,脱离了APK,很难独立判断黑白,大大降低了ELF模块的查杀率。而APK开发成本低,更新换代快,也大大提高了该木马的生存机会。

ROM认证的问题

“权限杀手”主要通过主流的刷机网站进行传播,据调查结果看到,刷机网站对ROM安全问题的把控能力不容乐观,ROM安全问题令人堪忧。此次内嵌该木马的上百个ROM文件几乎都同时打上了安全认证的标签,使得用户放松了警惕,这也是造成该木马流行传播的主要原因。例如:

如上所示,绝大部分预置“权限杀手”木马的手机ROM和以上图片一样,在发布时都带有“已通过腾讯ROM安全联盟认证”的标识,降低了用户的警惕性。

查杀

针对此类问题,我们建议大家从官方渠道购买手机,对于刷机用户,尽量从官方指定的渠道获取手机ROM,对于标注各种认证的手机ROM也不能掉以轻心,同时,也可以联系我们帮忙鉴定ROM的安全性。目前,360手机急救箱全面支持该木马所有变种的查杀与修复,如果您的手机ROM正好在我们发布的问题ROM列表里边,或者经常遇到无故损失流量、扣费等问题,建议到http://www.360.cn/jijiuxiang/下载360手机急救箱进行扫描。

附录

附一:“权限杀手”云控指令

附二:预置“权限杀手”的ROM

* 作者/360手机卫士(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21450194(PV) 页面执行时间:91.585(MS)
  • xml
  • 网站地图