近期,基于腾讯手机管家产品服务的腾讯移动安全实验室/反诈骗实验室监控到一款广告病毒的感染量有所提升,该病毒通过重打包将恶意代码嵌入到一些正规应用中,并通过一些广告渠道推广到用户手机,一旦进去用户手机后该病毒会尝试ROOT完全控制用户手机,并不停的弹出一些影响用户的体验的骚扰广告。值得注意的是,魔绑恶意广告病毒还会尝试下载地狱火和伏地虫等恶名昭彰的ROOT病毒,对用户手机安全造成严重威胁。
一、魔绑恶意广告病毒功能模块示意图
1、相关文件下载和功能
![1.jpg 1.jpg](https://i-blog.csdnimg.cn/blog_migrate/8300856b962997d04962b41d20f6fc18.jpeg)
2、功能执行流程
![2.jpg 2.jpg](https://i-blog.csdnimg.cn/blog_migrate/0c41415ca3941faf43fbde66409ad9b4.jpeg)
二、详细分析
1、相比正常软件,恶意包里面嵌入了恶意模块com.gus.wvz
![3.png 3.png](https://i-blog.csdnimg.cn/blog_migrate/a4a042a17422976dd78f16cb5a233506.png)
2、恶意代码的启动过程
母模块通过startservice方法调用子模块中的服务,如下:
![4.jpg 4.jpg](https://i-blog.csdnimg.cn/blog_migrate/b4d23227bc9b291ad5c9fec8aeb1c9a9.jpeg)
将“TICK“传到intent=”Com.ms.googleapi.tickalarm“内的CMD属性中。![5.jpg 6.jpg](https://i-blog.csdnimg.cn/blog_migrate/fb2d225fe310704cf5c16597043ca4b0.jpeg)
子包pushplugin.apk接收到信息后,即启动服务com.ms.googleapi.googleApiService从而启动整个模块。
![7.jpg 7.jpg](https://i-blog.csdnimg.cn/blog_migrate/20c2efd3389c07ac38e31273c76493c9.jpeg)
![8.jpg 8.jpg](https://i-blog.csdnimg.cn/blog_migrate/328c93f4955cca14bd4ab67ed030948a.jpeg)
3、恶意行为分析
3.1 弹出不堪入目的广告
若用户手机root失败,则病毒不会被安装到手机rom里面,但仍会频繁匿名弹窗,用户难以察觉是哪一个应用在弹广告,无法立刻卸载对应软件。
若用户手机root成功,则病毒mt_b会被安装到手机rom里面,母病毒与rom内子病毒同时频繁推送匿名弹窗广告,用户不但难以察觉是哪一个应用在弹广告,且即使卸载了母病毒,子病毒仍在rom内,一般用户难以卸载。
![10.jpg](https://i-blog.csdnimg.cn/blog_migrate/8948dd0017978013a1dd45bb49cb88be.jpeg)
3.2 子包pu********n.apk分析
Pu********n.apk分为两个模块,广告模块包含jd广告的sdk,root模块负责下载root所需工具与root成功后安装的恶意子包。
![11.jpg 11.jpg](https://i-blog.csdnimg.cn/blog_migrate/f5e054d86e94dcb1600a7f4694e293e4.jpeg)
3.2.1 Root工具下载
![12.jpg 12.jpg](https://i-blog.csdnimg.cn/blog_migrate/509221e5ce50438a5c117b3b36416fa0.jpeg)
hxxp://cd*****ource.m*******.com/upload/attachment/busybox_.zip
Root工具目录/data/data/com.gzlok.papa.show/file/.mrt:
![13.jpg 13.jpg](https://i-blog.csdnimg.cn/blog_migrate/d7a5fd4cb29277badd3c664f859e1c8f.jpeg)
3.2.2 下载rom内广告子包
抓包数据:
![14.jpg 14.jpg](https://i-blog.csdnimg.cn/blog_migrate/e36f2212087f8aa6b7e755ddacd20abc.jpeg)
链接:
http://106.7*.**.**0/service/getAPKPushConfi********ion?coo_id=c095ea5df575db6c&imei=352584061779820&sdk=1&c********d=ch0811&type=300&firsttime=1&internet=1&imsi=null&r********=null&dtype=phone&useDDL=1&useAvazu=1&sdkVersion=87&issys=0&md=Nex********brd=LGE&sv=4.4&sr=1080*1776&mac=2c:54:cf:ea********d=1&ppus=1&location=&ctm=0&smc=0
返回数据子包的信息,包括下载链接:
{"floatCd":300,"installTipTime":15,"floatStatus":1,"screenOutCd":20,"pushStatus":1,"screenCd":20,"hbcd":40,"slicdtime":-1,"shortcutCd":20,"type":0,"installShortcut":1,"floatTime":8,"time":90,"isDownLoad":0,"floatStartTime":60,"issli":0,"isNotice":0,"dprop":"V0tXS1dLV0tXS1dLV0tXS1dLV0tXS1dLV0tXSw==","pluginUrl":"http:\/\/c********rce.mj-game.com\/upload\/a********nt\/mhoad.apk","tryrrs":1,"sli********e":-1,"isPops":0,"isExit":"1","t********t":1}
访问返回的下载链接,下载子包:
![15.jpg 15.jpg](https://i-blog.csdnimg.cn/blog_migrate/b64930ab151cff3934358f0cb5b6ba42.jpeg)
http://cd**********e.**-g***.com/upload/att*******t/m**ad.apk
3.2.3 拉取广告相关分析
对加密字符494E3B2285166802E92AA52EA….D32330E5A14FCEC02766A74B进行解码,获得广告拉取服务器地址为http://www.*********.com/service,
![16.jpg 16.jpg](https://i-blog.csdnimg.cn/blog_migrate/73e96c7ba5ef9b380b25d1a410f22cb9.jpeg)
访问http://www.********.com/service/get***********Info.action获取弹窗广告信息。
![17.jpg 17.jpg](https://i-blog.csdnimg.cn/blog_migrate/7487ae69311c835f8da2c2f854c07396.jpeg)
l 调用com.ms.zx.b类进行解析
![18.jpg 18.jpg](https://i-blog.csdnimg.cn/blog_migrate/0bac4c6e477f57dd8305f4ce794b0979.jpeg)
l 保存至缓存文件googlesdk中
![19.jpg 19.jpg](https://i-blog.csdnimg.cn/blog_migrate/c428056fe7ba22c5e0b193830ae7971a.jpeg)
l 构建广告窗口对象
![20.jpg 20.jpg](https://i-blog.csdnimg.cn/blog_migrate/e94d0fc1987c97b4897aa19578251648.jpeg)
l 创建桌面快捷方式:
![21.jpg 21.jpg](https://i-blog.csdnimg.cn/blog_migrate/4d43fb74fbde82cb314dea116f9d5c9b.jpeg)
l 不同action的功能列表:
![22.jpg 22.jpg](https://i-blog.csdnimg.cn/blog_migrate/a64c51a37acf087d868a15ea9f161325.jpeg)
3.3 Rom内恶意子包mt_b
代码树:
![23.jpg 23.jpg](https://i-blog.csdnimg.cn/blog_migrate/0644c0c70360cb02c59d848af2936780.jpeg)
子包资源目录下包含广告包,启动后解码并下载调用pushplugin.apk。
![24.jpg 24.jpg](https://i-blog.csdnimg.cn/blog_migrate/45d2075f7a3b645cb59eb2a9b58d3434.jpeg)
通过以下代码,接收广播定时弹出广告:
![25.jpg 25.jpg](https://i-blog.csdnimg.cn/blog_migrate/9cca98b833984a7dde9a06e958f7118b.jpeg)
字符串解码前后对比:
![26.jpg 26.jpg](https://i-blog.csdnimg.cn/blog_migrate/9b652237742db2cac628ce6785f88097.jpeg)
4、其它功能
代码存在但未调用的部分。
4.1 疑似弹出修复漏洞的信息,诱导用户安装其他软件
![27.jpg 27.jpg](https://i-blog.csdnimg.cn/blog_migrate/040a67f1cd42d97df97040e3c2192139.jpeg)
4.2 生成随机名字及邮箱至访问指定链接注册帐号
![28.jpg 28.jpg](https://i-blog.csdnimg.cn/blog_migrate/cfe6223d3549cb5fbc32483790b98461.jpeg)
![29.jpg 29.jpg](https://i-blog.csdnimg.cn/blog_migrate/6ccc0655f08a91d57dbe7a66892e30d3.jpeg)
4.3 伏地虫病毒下载及注入
http://cdn*********.m*******.com/upload/attachment/n*******.apk
![30.jpg 30.jpg](https://i-blog.csdnimg.cn/blog_migrate/fd1f187e23d84bcf5f86db7ac48ca5af.jpeg)
![31.jpg 31.jpg](https://i-blog.csdnimg.cn/blog_migrate/38836205603cbd4cbc4e52d7fea2867f.jpeg)
4.4 地狱火病毒下载及注入
该样本看上去还处于测试状态,从选项看是它具有ROOT功能并支持一些推送。
http://cd********e.m*******.com/upload/attachment/cn******.apk
![32.png 32.png](https://i-blog.csdnimg.cn/blog_migrate/1f3ea98376dd512d4477c05bb334604b.png)
4.5 列出杀毒软件包名列表,疑似准备root后禁用此类软件
![33.jpg 33.jpg](https://i-blog.csdnimg.cn/blog_migrate/62ea6b3432be7e1bebc610d211baffe3.jpeg)
三 病毒的影响以及溯源
魔绑广告病毒主要通过刚需,广告平台获取流量,然后通过一些重打包游戏以及色情应用进去到用户平台,进去用户平台以后再通过广告等方式实现流量变现最终获取利益。
![34.png 34.png](https://i-blog.csdnimg.cn/blog_migrate/29920bd5463ca1f7269f9d748f70c70d.png)
核心恶意子包近期受影响的用户感染趋势:
![35.png 35.png](https://i-blog.csdnimg.cn/blog_migrate/8715b7aa9ae2ab8d2782d5bccc8fad73.png)
四、手机管家查杀和安全建议
针对该病毒,腾讯手机管家无需升级即可全面查杀,同时腾讯手机管家以及腾讯移动安全实验室提醒您:
1.谨防不明链接,不要随意点击任何未知来源或短信中的链接。
2.只安装可信渠道的软件,不要在非官方网站或者不知名应用市场下载任何应用。
3.强烈建议您开启安全软件所有安全功能,并保持定期扫描的良好习惯。
![36.png 36.png](https://i-blog.csdnimg.cn/blog_migrate/0672e476debecee0583c45662082bdc3.png)
![37.png 37.png](https://i-blog.csdnimg.cn/blog_migrate/706110a5bf5a7ceb2c422bfb562cd1a6.png)