跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

安天AVL联合小米MIUI首擒顽固病毒“不死鸟”


HACK7YD

推荐的帖子

 

不死鸟作为希腊神话中的一种怪物,拥有不断再生的能力,每当寿限将至时,它会在巢穴中自焚,并在三天后重新复活。就在近期,安天AVL移动安全团队和小米MIUI安全中心发现了病毒界的“不死鸟”,其顽固程度之深,用户很难通过常规的卸载手段清除该病毒。

 

这款病毒名为Fushicho,一旦运行,它首先会通过一系列手段攻击手机的“免疫系统”:联网下载root工具对用户手机进行提权处理,进一步根据文件中的sql语句将自身插入某知名杀毒软件白名单中,并通过“pm disable”命令禁用某知名杀毒软件,致使手机安全防护功能全线崩溃。

 

接下来Fushicho病毒会替换系统启动脚本文件,实现开机自启动并获得root权限。而为了使其自身成为手机中唯一具有root权限的应用,该病毒会删除手机中其他root程序、su文件。除此之外,由于病毒应用被锁在系统目录下,用户很难通过常规卸载手段清除该病毒。

 

至此,Fushicho病毒将紧紧扎根在手机中,像不死鸟一般难以消灭。同时该病毒将通过联网获取恶意扣费指令对手机进行长期的扣费并下载其他恶意扣费软件,使感染用户遭受巨大的财产损失。

 

接下来,我们将对这只病毒界的“不死鸟”进行详细的解剖分析。

 

Fushicho病毒运行流程图

 

4qp34gvi4r24387.png

 

详细分析

 

私自提权

 

Fushicho病毒运行时加载本地Pxivuurauu.so文件,解密资源文件中的ico.png文件来释放子包oko.jar。子包释放后被动态加载,并在本地解密。Fushicho病毒获取到提权工具下载地址后下载并解密,获取提权工具包cab.zip,解压并加载其中的data.jar文件,对用户手机提权。

 h3zvb3my1sc4390.png

 

获取提权工具下载地址:

 

 zrc3g01fcx24392.png

 

解压后的文件如下所示:

 

 clzepni3n3m4394.png

 

各文件功能及作用如下表所示:

 

zmfdyzy5mwa4397.png

 

提权工具包结构:

 

sd4zi4ghnch4399.png

 

将自身写入某知名杀毒软件白名单

 

Fushicho病毒运行时解密root工具包中的ql文件获取将自身插入某知名杀毒软件白名单的sql语句,通过qlexec文件打开数据库并执行sql语句,将自身插入某知名杀毒软件白名单中来逃避检测。

ql文件内容如下:

 

qqcecytx5mp4402.png

 

 

kgsetyb112r4404.png

 

 

删除提权相关文件

 

Fushicho病毒在获得root权限后会删除手机中其他的root相关文件和apk程序,将下载提权工具包cab.zip中的su文件分别重定向到/system/xbin/.sysd,/system/bin/android.sys,/system/etc/android.sys,/system/etc/android.sys中。

删除其他root权限:

 

4raclgoe5d04407.png

 

qavznetvdnm4408.png

 

 将su文件重定向到系统目录中:

 

zi0btzaggns4411.png

 

禁用某知名杀毒软件

 

Fushicho病毒通过“pm disable”命令禁用某知名杀毒软件,将该软件停止使用,并隐藏图标和已安装应用列表中的展示,致使用户无法找到该应用也无法重新安装该应用。

 

jh0hsf024054413.png

 

为了验证该命令的效果,我们测试了一下:

 

Step1:安装某知名杀毒软件,可以在已安装应用程序中看到该应用:

 

r2ecihceetr4414.png

 

 

Step2:使用pm disable命令:

 

dliqze2hxqi4416.png

 

 

Step3:在已安装应用中查找该应用,已经找不到该应用了,说明该应用已被成功禁用:

 

3fi5irtrskk4418.png

 

 

Step4:用命令行工具查看data/app下的应用列表,可以看出该应用是存在的:

 

5q21tddpzeh4419.png

 

 

Step5:如果尝试在手机中再次安装该应用,提示已安装:

 

3h33udtmdfs4423.png

 

替换系统脚本文件

 

Fushicho病毒运行时会替换系统的启动脚本文件install-recovery.sh、install-recovery-2.sh,新的脚本文件将在手机启动后立即给Fushicho病毒赋予root权限。

 

iu3gasuqfiv4426.png

 

脚本运行时以守护进程的形式启动对应目录下的.sysd和android.sys文件

 

xful1s1ccn24428.png

 

恶意扣费

 

Fushicho病毒的扣费模块通过监听用户解锁、网络变化以及手机开机的系统广播启动,付费模块启动后联网获取付费短信数据和要拦截的短信关键字。

并联网向hxxp:// www.mmchong[.]com上传用户设备信息,获取短信相关扣费短信数据。

 

rwrb4uhhzlq4430.png

 

扣费短信数据解密后如下,其中字段port、cmd对应的是要发送的号码和内容,字段hport、hcmd对应的是要拦截的号码和短信内容,Fushicho病毒通过以上字段进行恶意扣费而用户无法感知。此外Fushicho病毒还会拦截包含“银行”和“快递”关键字段的短信。在接收到包含msg字段的值的短信时还会自动回复短信或联网发送拦截的短信。

 

pvpoxzw0cde4432.png

 

tbphh15jafb4435.png

 

推送恶意应用

 

Fushicho病毒运行时解密root工具包中的data0文件,通过解析文件中的指令将root工具包中的恶意应用推送到系统目录下并启动。在推送时将这些恶意应用加锁,并修改创建时间为2008-01-01 00:00,伪装成系统应用让用户难以察觉。

 

nsnayxujdfk4437.png

 

推送的恶意应用:

 

liploj3cyvz4439.png

 

rc0p4cua2lj4441.png

 

总结

 

总体而言,Fushicho病毒一旦运行,将会通过攻击感染手机安装的杀毒软件来使整个手机的“免疫系统”形同虚设,并采取一列后续手段将其自身紧紧扎根于手机中,用户很难通过常规卸载手段来清除。此外,从上述攻击步骤可以看出,Fushicho病毒非常注重root权限,从自身提权,到删除其他root工具,再到替换系统启动脚本,使自身可以在系统启动的第一时间得到root权限。这一系列操作之后,Fushicho病毒成为系统第一个也是唯一一个有root权限的应用。 在保证“不死”的情况下,“不死鸟”(Fushicho)病毒将通过发送恶意扣费短信持续对用户的财产造成损害,危害极大。

 

安全建议

 

针对Fushicho系列病毒,集成AVL反病毒引擎的MIUI安全中心已经实现全面查杀。安天AVL移动安全团队和MIUI安全中心提醒您:

l  请不要轻易root手机,否则您的手机将遭受巨大的安全风险;

l  请勿在非官方网站或者不知名应用市场下载任何应用;

 

安天AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。AVL移动反病毒引擎致力于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前除了为小米MIUI输送安全能力外,也与其他众多知名厂商达成战略合作,为猎豹、阿里云YunOS、OPPO、VIVO、步步高、努比亚、LBE、安卓清理大师、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。

 

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...