提权广告件PermAd分析报告

提权广告件PermAd分析报告

图/文  AVL移动安全

        近期，AVL移动安全团队在GooglePlay应用市场发现一款名为POPBIRD的游戏应用（现已下架），一旦安装，该应用就会立即弹出三只活泼可爱的小鸟图标，迅速调动用户启动该应用的欲望。

        该应用打包了恶意提权广告件PermAd，该应用运行后立即弹出开始界面，在颜色绚丽的开启界面背后其实暗藏各种流氓性质的恶意行为。具体恶意行为如下：

• 自动下载提权工具，提升应用权限。
• 开机自启动。
• 监控相关恶意子包应用，提升恶意子包权限。
• 上传用户系统信息。
• 恶意子包进行自我更新，推送第三方广告。
• 防止被卸载。

        

一、 恶意代码整体运行流程

以下介绍恶意提权广告件PermAd的详细运行流程。

该应用运行时会联网下载提权应用.perm.apk，.perm.apk被DexClassLoader加载执行后会释放多个文件并提升应用权限。以下列举被释放的文件及其信息：

被释放文件的运行流程如图4所示。

二 提权模块执行流程

1 运行后，应用会联网访问http://****/RootsdkUpdate/Index，获取提权应用的最新地址，并下载保存在指定地址。
2 DexClassLoader .perm.apk后反射调用相关方法释放文件并提权。
3 执行提权回调命令：
写入命令进启动文件install-recovery.sh，达到开机启动的目的。
释放.dler.apk文件，更改权限，静默安装应用com.android.service.utc0
复制释放的文件到相关目录提升权限并执行.rt_daemon，进行后台监听。

创建一个线程监听，每3.6秒监听进程，若无com.android.service.utc0进程则读取并执行.exeam文件里的am命令启动com.android.service.utc0

4 执行/system/xbin/.rt_bridge写入am命令到/data/local/.exeam文件，添加包的MD5到/data/local/.bridge文件， Socket方式向.rt_daemon发送请求。

三 防卸载模块执行流程

.perm.apk释放.catr.apk（实际是ELF文件）,运行锁定相关文件, 锁定文件后即便卸载应用后也不能删除。

使用lsattr指令可以查看该文件隐藏属性，相对其他文件多了ia两个参数，使之不能被删除：
                                                                                

四 释放的DownLoader子包执行流程

1 .rt_daemon am 方式执行com.android.service.utc0/com.example.demo10.WakeActivity

2 联网访问指定网址以获得DownLoadr应用最新地址，在测试中发现该DownLoader还在更新。

3 自我更新，并释放/files/.catr.apk，锁定文件，防止被删除。
4 访问特定网址获取广告列表，并进行广告推送。

五 总结及安全建议

        该应用释放的子包能通过install¬-recovery.sh启动，在后台监听使子包一直处于运行状态，并通过chattr锁定自身/data/app中的应用，通过应用管理卸载后依旧存在，开机后通过.rt_daemon使用am命令启动，达到无法轻易被卸载的目的，只能通过先使用chattr解除权限再使用rm来完成删除。

此外，该应用还会删除su文件，导致之前Root过的手机都无法获取Root权限。
普通用户很难正常卸载此类恶意应用。因此，AVL移动安全团队建议大家在使用新安装应用前，安装并开启手机安全软件AVL Pro进行全面扫描，避免开启恶意应用，远离恶意应用威胁。