近期，基于騰訊手機(jī)管家產(chǎn)品服務(wù)的騰訊移動(dòng)安全實(shí)驗(yàn)室/反詐騙實(shí)驗(yàn)室監(jiān)控到一款廣告病毒的感染量有所提升，該病毒通過(guò)重打包將惡意代碼嵌入到一些正規(guī)應(yīng)用中，并通過(guò)一些廣告渠道推廣到用戶手機(jī)，一旦進(jìn)去用戶手機(jī)后該病毒會(huì)嘗試ROOT完全控制用戶手機(jī)，并不停的彈出一些影響用戶的體驗(yàn)的騷擾廣告。值得注意的是，魔綁惡意廣告病毒還會(huì)嘗試下載地獄火和伏地蟲(chóng)等惡名昭彰的ROOT病毒，對(duì)用戶手機(jī)安全造成嚴(yán)重威脅。?

一、魔綁惡意廣告病毒功能模塊示意圖

1、相關(guān)文件下載和功能

2、功能執(zhí)行流程

二、詳細(xì)分析

1、相比正常軟件,惡意包里面嵌入了惡意模塊com.gus.wvz

2、惡意代碼的啟動(dòng)過(guò)程

母模塊通過(guò)startservice方法調(diào)用子模塊中的服務(wù)，如下：

將“TICK“傳到intent=”Com.ms.googleapi.tickalarm“內(nèi)的CMD屬性中。

子包pushplugin.apk接收到信息后，即啟動(dòng)服務(wù)com.ms.googleapi.googleApiService從而啟動(dòng)整個(gè)模塊。

3、惡意行為分析

3.1?彈出不堪入目的廣告

若用戶手機(jī)root失敗，則病毒不會(huì)被安裝到手機(jī)rom里面，但仍會(huì)頻繁匿名彈窗，用戶難以察覺(jué)是哪一個(gè)應(yīng)用在彈廣告，無(wú)法立刻卸載對(duì)應(yīng)軟件。

若用戶手機(jī)root成功，則病毒mt_b會(huì)被安裝到手機(jī)rom里面，母病毒與rom內(nèi)子病毒同時(shí)頻繁推送匿名彈窗廣告，用戶不但難以察覺(jué)是哪一個(gè)應(yīng)用在彈廣告，且即使卸載了母病毒，子病毒仍在rom內(nèi)，一般用戶難以卸載。

? ?

3.2?子包pu********n.apk分析

Pu********n.apk分為兩個(gè)模塊，廣告模塊包含jd廣告的sdk，root模塊負(fù)責(zé)下載root所需工具與root成功后安裝的惡意子包。

?

3.2.1?Root工具下載

hxxp://cd*****ource.m*******.com/upload/attachment/busybox_.zip

Root工具目錄/data/data/com.gzlok.papa.show/file/.mrt：

3.2.2?下載rom內(nèi)廣告子包

抓包數(shù)據(jù)：

鏈接：

http://106.7*.**.**0/service/getAPKPushConfi********ion?coo_id=c095ea5df575db6c&imei=352584061779820&sdk=1&c********d=ch0811&type=300&firsttime=1&internet=1&imsi=null&r********=null&dtype=phone&useDDL=1&useAvazu=1&sdkVersion=87&issys=0&md=Nex********brd=LGE&sv=4.4&sr=1080*1776&mac=2c:54:cf:ea********d=1&ppus=1&location=&ctm=0&smc=0

返回?cái)?shù)據(jù)子包的信息，包括下載鏈接：

{"floatCd":300,"installTipTime":15,"floatStatus":1,"screenOutCd":20,"pushStatus":1,"screenCd":20,"hbcd":40,"slicdtime":-1,"shortcutCd":20,"type":0,"installShortcut":1,"floatTime":8,"time":90,"isDownLoad":0,"floatStartTime":60,"issli":0,"isNotice":0,"dprop":"V0tXS1dLV0tXS1dLV0tXS1dLV0tXS1dLV0tXSw==","pluginUrl":"http:\/\/c********rce.mj-game.com\/upload\/a********nt\/mhoad.apk","tryrrs":1,"sli********e":-1,"isPops":0,"isExit":"1","t********t":1}

訪問(wèn)返回的下載鏈接，下載子包：

http://cd**********e.**-g***.com/upload/att*******t/m**ad.apk

3.2.3?拉取廣告相關(guān)分析

對(duì)加密字符494E3B2285166802E92AA52EA….D32330E5A14FCEC02766A74B進(jìn)行解碼，獲得廣告拉取服務(wù)器地址為http://www.*********.com/service，

訪問(wèn)http://www.********.com/service/get***********Info.action獲取彈窗廣告信息。

l?調(diào)用com.ms.zx.b類進(jìn)行解析

l?保存至緩存文件googlesdk中

l?構(gòu)建廣告窗口對(duì)象

l?創(chuàng)建桌面快捷方式：

l?不同action的功能列表：

3.3??Rom內(nèi)惡意子包mt_b

代碼樹(shù)：

子包資源目錄下包含廣告包，啟動(dòng)后解碼并下載調(diào)用pushplugin.apk。

通過(guò)以下代碼，接收廣播定時(shí)彈出廣告：

字符串解碼前后對(duì)比：

4、其它功能

代碼存在但未調(diào)用的部分。

4.1?疑似彈出修復(fù)漏洞的信息，誘導(dǎo)用戶安裝其他軟件

4.2?生成隨機(jī)名字及郵箱至訪問(wèn)指定鏈接注冊(cè)帳號(hào)

?

4.3?伏地蟲(chóng)病毒下載及注入

http://cdn*********.m*******.com/upload/attachment/n*******.apk

?

4.4?地獄火病毒下載及注入

該樣本看上去還處于測(cè)試狀態(tài),從選項(xiàng)看是它具有ROOT功能并支持一些推送。

http://cd********e.m*******.com/upload/attachment/cn******.apk

?

4.5?列出殺毒軟件包名列表，疑似準(zhǔn)備root后禁用此類軟件

?

三?病毒的影響以及溯源

魔綁廣告病毒主要通過(guò)剛需,廣告平臺(tái)獲取流量,然后通過(guò)一些重打包游戲以及色情應(yīng)用進(jìn)去到用戶平臺(tái),進(jìn)去用戶平臺(tái)以后再通過(guò)廣告等方式實(shí)現(xiàn)流量變現(xiàn)最終獲取利益。

核心惡意子包近期受影響的用戶感染趨勢(shì)：

?

四、手機(jī)管家查殺和安全建議

針對(duì)該病毒，騰訊手機(jī)管家無(wú)需升級(jí)即可全面查殺,同時(shí)騰訊手機(jī)管家以及騰訊移動(dòng)安全實(shí)驗(yàn)室提醒您：?　　

1.謹(jǐn)防不明鏈接，不要隨意點(diǎn)擊任何未知來(lái)源或短信中的鏈接。

2.只安裝可信渠道的軟件，不要在非官方網(wǎng)站或者不知名應(yīng)用市場(chǎng)下載任何應(yīng)用。

3.強(qiáng)烈建議您開(kāi)啟安全軟件所有安全功能，并保持定期掃描的良好習(xí)慣。

?

總結(jié)

以上是生活随笔為你收集整理的魔绑广告病毒感染量提升 ROOT控制手机并下载其他病毒的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。