(5) /dev/msm_acdb
解密后的数据为:{“upstream”:”http:\/\/sdk.smartchoiceads.com”},这样获取了下一跳板的地址。 访问跳板地址,下载、加载和运行最新版子包。 访问服务器配置的url_2,服务器同样返回AES加密数据,解密后的数据如下:
2.“刷榜僵尸”向googleplay发起认证,通过获取的设备googleplay账号和密码,或authtoken。
主包004参数传递的应用名,并拷贝到设备sdcard/database目录命名为5supdate.apk,同时配置“下载者”病毒相关文件,存放目录在sdcard/database目录下。包括actiondown记录包名以及启动服务名、actionsuk应用最近一次运行时间、install.ab服务器推广应用安装情况、mychannel应用渠道,这些文件数据全部都AES加密存放。Actiondown记录下载者病毒包名以及入口服务。
“魔百Wifi”目前最新版本为2.3.18。根据应用证书md5(5919ee638614c467152ab4d07c9cc2dc) 排查,发现版本2.3.5~2.3.10被官方插入了恶意代码。值得注意的是,官方发布的2.3.8 版本打了两个不同的包,一个增加root提权向系统目录植入“刷榜僵尸”,另外一个包和2.3.10版本应用都捆绑了“下载者”病毒。捆绑了“刷榜僵尸”和“下载者”的“魔百 Wifi”,利用自身的用户量对应用刷榜和安装,进而非法牟利。以下是对“魔百Wi-Fi”2.3.8带 root包的应用分析。
(2) /dev/graphics/fb0
"fnid":"558734714274962_641985812616518",
(1) CVE-2012-4220
六、 病毒sha1:
4.2 下载“下载者”病毒
01b3e575791642278b7decf70f5783ecd638564d
二、root提权
(4) CVE-2013-6282
成功与google play服务器连接后,通过配置文件提供的keywords和package_name完成应用搜索、浏览和下载
子包dexhostinject.jar下载的5supdate.apk存放位置在sdcard/database目录下,既是“下载者”病毒安装包,通过应用更新或系统更新诱骗用户安装,安装后dexhostinject.jar启动“下载者”导出服务AimService。“下载者”病毒工作流程图如下:
Linux kernel对ARM上的get_user/put_user缺少访问权限检查,本地攻击者可利用此漏洞读写内核内存,获取权限提升。
actiondown:{“downLoadPackageName”:”com.android.ucgmap”,”downLoadVersionKey”:1,”downLoadStartMethod”:”com.android.ucgmap\/com.android.ucgmap.AimService”}
影响版本:linux kernel3.2.1、Linux kernel3.2.2、Linux kernel3.2.13
(3) /dev/hdcp
3. 开启后台服务利用libgodlikelib.so进行root提权,提权成功将libgodlikelib.so 提权工具库写入系统库文件;__image解密的apk文件植入系统目录,取名AndroidDaemonFrame.apk 即是“刷榜僵尸”病毒;
“魔百Wi-Fi”在2015年末首次发布,向用户打着安全Wi-Fi 旗号,短短半年用户安装量已高达300万。我们发现它具备专业的应用推广团队,目前已在国内知名渠道发布多篇宣传文章,并与国内多家应用商店合作,下图是”魔百Wifi” 前不久的一篇文章,文中还提到“截至目前,魔百WiFi拥有超过2亿的国内外热点,已覆盖商场、酒店,热点全线接入”。
pingpong该漏洞是Linux kernel的ping套接字上存在的一个Use-After-Free 漏洞。
每隔120分钟请求控制端下载推广应用,?country=cn&packageName=com.android.ucgmapC&C,控制端返回推送的应用信息,包括packgae(应用包名)、url(应用下载链接)、size(应用大小),返回数据转交给消息handler处理,进行应用下载安装。
该病毒捆绑了多个子包,以下是各个模块关系图:
近期,阿里移动安全发现一款名叫“魔百Wi-Fi”应用,该应用官方的一个版本捆绑了多个病毒,目的是对GooglePlay 商店应用刷榜和刷大量未知应用安装量。
5900fabbe36e71933b3c739ec62ba89ac15f5453"ad_interval":10,
再配合之前注册的时钟广播ApsAdReceiver,完美完成推广应用启动。
4e5af777fe28f450a670e789b23fb3669dc6e6b6
三、AndroidDaemonFrame.apk“刷榜僵尸”分析
相关推荐: