安天移动安全联合猎豹揭秘无形之贼Dosoft免杀病毒

2017-07-25 12,371

网络安全的核心本质是攻防对抗

当安全工作者使用手上的安全武器保卫网络安全时,恶意攻击者也在想方设法予以对抗、夹缝求生。

“免杀病毒”便是正邪对抗的产物。免杀是一种避免被杀毒软件查杀的技术,利用这种技术,免杀病毒可以在杀毒软件面前肆无忌惮地实施恶意行为而不被发现。

近期,安天移动安全团队和猎豹安全实验室捕获了一例企图绕过杀毒软件实现免杀的病毒——Dosoft,该病毒通过捆绑在正常应用中潜入用户手机,待应用运行后则启动服务立即执行恶意代码模块,通过修改杀软数据库的手段躲避查杀,并利用系统漏洞root手机而获取root权限,从而在后台私自静默推广并安装其他App,消耗用户流量资费,可谓是“无形之贼”。01

Dosoft病毒界面

02

静默安装其他App示例

一、恶意行为流程图

3

二、恶意行为详细分析

Step1.上传设备信息,获取恶意文件下载地址列表

  该应用捆绑恶意代码,运行后启动服务去执行恶意代码模块,并上传手机设备信息,获取恶意文件下载地址列表。上传的手机设备信息包含IMEI、IMSI、Android的版本、国家代码(ISO标准形式)等多项信息。

【本文由安天AVL团队入驻安全脉搏账号发布,转载请注明来源安全脉搏:https://www.secpulse.com/archives/59466.html】

04

  上传的目标URL: http://smzd.cntakeout.com:36800/configsc.action

通过网络抓包获取加密通信数据:

05

对返回的数据进行解密,表面上看都是一些.png文件的下载地址列表。06

但对这些下载地址通过字符串拼接形成完整链接后访问发现,实际上.png文件并非图片文件,而都是加密的ELF、zip和apk文件。

Step2.保存返回的数据,下载恶意子包

Dosoft病毒将Step1获取的返回数据保存到pluginLib.xml文件中,目的是为了避免每次请求服务器获取配置信息而引起杀软注意并影响攻击效率。Dosoft病毒再次运行时将直接读取该文件中的数据,解密后立即下载恶意文件。

07

解析保存的数据,进行解密后,然后下载ajsbv43_.png和eql_29.png恶意子包。08

Step3.解密下载的恶意子包,动态加载

上一步骤下载获得的子包的主要作用为完成其他恶意文件的解密、获取root权限、ELF文件的授权和注入以及执行杀毒软件的对抗策略。

调用Lib/libNDKlib.so的load函数解密eql_29.png子包,并且动态加载。

09

Step4.添加病毒信息至杀软数据库中,以防查杀

检测是否安装某杀毒软件:10

如果受害用户手机中安装了相关杀毒软件,则把恶意的apk文件信息写入杀软的sh**d.db和v_a*****rus.db数据库中,其手段类似于添加自己的数据到杀软白名单中,防止被杀毒软件查杀。1112

Step5.获取root权限,并注入恶意文件到系统内

Dosoft病毒所使用的提权工具会根据手机的设备信息而下发特定的提权文件。在我们测试该病毒的场景下,发现Dosoft病毒使用了CVE-2015-3636漏洞提权。工具的来源地址: http://ad.keydosoft.com/scheme/rpluIn/rpluIn_28.png

13

其实在主包的目录assets\rpluIn_25.png中也有一个漏洞利用的文件,利用MTK相机内核驱动缺陷导致的权限提升,可见病毒作者准备了多个root方案。14

完成root权限的获取后,恶意代码利用文件注入手段,企图修改系统配置。而在注入恶意文件到系统前,Dosoft病毒先检测常用杀毒软件是否运行,如运行则强制关闭杀软。15

上述操作完成后,Dosoft病毒进而将恶意文件qweus、.ts、注入至手机system/bin/目录以及install-recovery.sh文件中。

16 17

其中qweus文件实际为su文件,只需调用qweus qweoy命令即可再次获取root权限。.ts文件与恶意子包行为一致,该文件被注入到了install-recovery.sh中,使得手机开机后可以自动启动恶意程序并运行。18

为防止系统注入文件被删除,恶意开发者还将恶意文件备份至/data/local/tmp目录,保证文件被删除后能够从该目录下及时恢复,或直接从该目录中执行这些文件。19

此外,Dosoft病毒利用已获取的root权限,将Nuxikypurm.apk(包名:com.android.uhw.btf)恶意子包注入到System/app/目录,防止被卸载。20

Step6.下载推广应用并静默安装

在上述操作后,Dosoft病毒利用一系列手段实现了自我保护。接下来,Dosoft便可以“高枕无忧”地执行恶意推广以及静默安装推广应用的行径。

再次请求URL:smzd.cntakeout.com:36800/feedbacksc.action,返回推广应用的下载地址。21

解密后获得明文URL,将文件进行分析后,下载文件的URL以及文件类型如下:22

23

当其他的应用下载完成后,Dosoft利用已申请的root权限,在用户不知情的情况下,对后台下载的应用进行静默安装,以实现最终的恶意推广目的,获取非法利益。2425

总结

至此,Dosoft病毒利用一系列手段保护自己,实现了其恶意下载推广应用的目的。为了逃避杀毒软件的检测,病毒开发者可谓是煞费苦心。其核心恶意逻辑都通过云端动态加载配置文件进而完成。而云端下发的恶意文件都经过多级加密处理,采用依赖性的解密方法方可解密(解密的过程先要通过A文件解密B文件,然后再通过B文件去解密其他的文件)。其提权环节为通过云端下发提权策略,并利用了CVE的漏洞来提升root成功率。此外,Dosoft病毒还将自有文件信息写入杀毒软件数据库,最终加大了杀毒软件的查杀难度。27

简易恶意行为逻辑图

安全建议

针对Dosoft病毒,猎豹安全大师等集成安天AVL移动反病毒引擎的安全产品已经实现全面查杀。安天移动安全团队和猎豹安全实验室提醒您:

1、建议从正规应用市场下载应用,不要从不知名网站、论坛、应用市场等非正规渠道下载应用;

2、培养良好的安全意识,使用猎豹安全大师等集成了安天AVL引擎的安全产品定期进行病毒检测,以更好识别、抵御恶意应用;

3、当手机中莫名出现新安装应用等异常情况时,请及时使用安全产品扫描手机并对异常软件进行卸载处理。

 

【本文由安天AVL团队入驻安全脉搏账号发布,转载请注明来源安全脉搏

 

Tags:

评论  (2)
快来写下你的想法吧!
  • AVL Team 团队认证 2017-07-25 18:10:50

    勘误:文中(具体为恶意行为详细分析Step5首段)病毒利用漏洞“CVE-2016-3636”更正为“CVE-2015-3636”。修改后最新版文章可见安天移动安全官方博客,文章链接为:http://blog.avlsec.com/2017/07/4777/dosoft/

AVL Team

文章数:16 积分: 1

专注移动互联网安全,恶意代码分析/安全技术研究/行业生态等知识分享平台

关注我们

合作伙伴