活跃于社交网络的“点赞狂魔”,已见怪不怪,现如今,却有一种病毒版的“刷赞狂魔”,活跃网路。近日,360安全脑部详尽披露了一种兼容安卓64位的Android Native病毒——“刷赞狂魔”。
该病毒以虚假情色应用为诱饵引诱用户上钩,暗地里悄悄通过短视频网路插口给短视频疯狂刷赞、为公众号刷阅读量,在不知不觉中让普通用户化身刷赞“僵尸粉”。广大用户可下载安装360手机卫士拦截查杀这种病毒。
中招秒变“僵尸粉”
“刷赞狂魔”借情色应用扩散
不同于通常病毒,“刷赞狂魔”病毒极其狡诈。从360安全脑部追踪数据看来,该病毒除了能通过更改系统文件、云控加载等技术手段躲避杀毒软件,还会借助CVE-2019-2025(水滴漏洞)等多个Android系统漏洞获取手机最高的ROOT权限。这也就造成,一旦手机感染该病毒,将被植入大量未能删掉的底层恶意模块,惨变“工具人”之余,还可能遇到恶意扣费的情况。
从害处上来看,“刷赞狂魔”病毒主要特点是,让中招手机沦为短视频刷赞、公众号刷阅读量“僵尸粉”,并在用户不知情的情况下,私自购买付费业务,拦截扣费邮件,造成直接经济损失。在传播途径上,该病毒主要通过情色应用、小游戏等多种形式进行传播。
(“刷赞狂魔”病毒伪装的几种典型应用)
综合360安全脑部检测数据而言,该病毒可使用多个Android系统漏洞获取手机最高ROOT权限,修改系统文件(aee_aed/debuggerd),利用SVC指令隐蔽地加载病毒主体文件,和云端下载payload(载荷),使用自定义加密算法,保护自身不被杀毒软件发觉。
ROOT提权刷赞扣费三步走
“刷赞狂魔” 蛇皮跑位躲杀软
“刷赞狂魔”病毒感染手机后,会先从云端服务器下载ROOT提权工具包,解密并释放病毒主体文件kms_02ext,以获得更高的手机ROOT权限,用以执行刷赞、刷阅读量和恶意扣费等不法操作。经360安全脑部剖析强调,“刷赞狂魔”病毒从云端下载ROOT提权工具包前,其实会有一个复杂且隐蔽的打算阶段。
当用户无意中下载了带有病毒的应用时,打开应用界面,会先听到绕圈加载等待画面。这时,应用虽然在“暗度陈仓”,偷偷上传用户手机号、设备信息,并下载ROOT提权工具包等其他功能模块,为获取手机ROOT权限等恶意行为做打算。这一过程中,该应用会释放并下载近50个jar文件。
为了让更多的用户中招,该病毒应用就会在虚假情色应用显示的视频页面,显示用户评论以降低可信度,打消用户防范心理。而经360安全脑部追溯剖析发觉,视频页面评论及ID,均为预先设定内容,只是为了进一步蒙蔽用户。
此外,该病毒应用还使用了多个数据库文件,分门别类储存对应信息。
该病毒dfsywwy.data数据库中储存了大量待下载jar文件,插件数量之庞大可见一斑。具体如下:
当病毒应用释放的ss.jar文件成功从云端下载upnpclz.apk后,也就为进一步下载ROOT加壳工具包做好了打算。
第一步:ROOT加壳
upnpclz.apk加载上去后会检测更新,并从云端下载ROOT提权工具包imgs_9.zip,解密后得到upz_5压缩文件。
接下来,其会加载libkm05.so(64位手机则是libkm05_64.so),并调用其中的2个JNI函数,解密km01以释放“刷赞狂魔”病毒主体文件kms_02ext。
至此,病毒主体文件kms_02ext运行后,会最终释放“刷赞狂魔”病毒核心作恶模块km09_2970.so,并调用km09_2970.so的func_3( )函数,完成ROOT挂马、释放核心elf文件等操作。如此漫长的释放链,可以说“刷赞狂魔”病毒的求生欲非常强烈。
需要注意的是,func_3( )函数中,病毒首先会向C&C服务器POST设备信息,识别手机机型,以选用合适的加壳方案获取手机ROOT权限。在这一过程中,病毒主要使用了CVE-2013-2595、CVE-2016-5195(脏牛)、CVE-2019-2025 (水滴)等漏洞实现手机ROOT加壳。
第二步:短视频刷赞
成功获取手机ROOT权限后,核心作恶模块km09_2970.so会从云端下载揭秘短视频刷赞模块v15.zip(解密后为一个SO文件),并加载该SO文件的do_main( )函数,用于下载并揭秘v18_u.zip,其为完全揭秘的“刷赞狂魔”病毒主体文件kms_02ext,当病毒主体被删除后,仍可通过该方法“满血复活”。
接着,libdy.so会读取短视频应用的token_shared_preference.xml、applog_stats.xml、Cookies文件获取手动刷赞所需的用户token等个人登陆信息,构造完整的短视频刷赞恳求URL,并通过解析返回结果”status_code”、”is_digg”参数值,判断刷赞是否成功。
除此之外,恶意模块km09_2970.so就会释放恶意文件liblad.so、wxop.dex。liblad.so会在.init_array节中加载病毒文件/system/bin/debuggerro,并在my_entry( )函数中创建新线程加载wxop.dex的com.wxop.Entry类的入口函数DoOp( ),通过某社交应用的Webview来访问指定URL,为公众号刷阅读量。其刷公众号阅读量的代码片断如下:
第三步:恶意扣费
如果说,病毒刷赞是把普通用户弄成“工具人”,那么接下来的恶意扣费,就直接殃及用户的皮夹。这次,病毒释放的恶意模块km09_2970.so,会把恶意文件1.so、jarop.dex.jar注入com.android.phone进程,以监控收发读写手机邮件,甚至擅自订阅付费业务,并拦截扣费邮件。
该病毒执行邮件屏蔽的恶意代码片断如下:
相关C&C服务器信息
相关APK列表
不惧“刷赞狂魔”套路
更新360手机卫士护航安全
对普通用户来说,“刷赞狂魔”病毒强行占有用户手机刷赞、刷阅读量,不仅影响了手机正常使用导致个人信息外泄,漏洞的恶意借助还直接对用户手机的安全构成了巨大恐吓。同时,对用户来说,当病毒作者获取ROOT权限后,无异于将手机完全交于不法分子,一旦被借助极可能导致难以挽回的损失。
对此,360安全脑部给出如下安全建议:
1、寻找“360手机卫士”神抢断:及时通过360手机卫士官网及各大应用市场安装/更新360手机卫士,对爱机进行一次全面“体检”;
2、防微杜渐:若手机出现异常发热、霸屏广告等反常现象,及时使用360手机卫士进行复检、扫描查杀病毒;
3、警惕桃色圈套:病毒作者常借助人们的猎奇心理,精心设好圈套等待用户上钩,广大手机用户切勿抱有侥幸心理,通过正规手机应用市场下载安装应用可有效规避中招风险;
4、谨慎放行:杀毒软件提示病毒的,切勿轻信病毒软件提示添加信任;
5、及时更新系统及补丁:及时升级系统、安装系统更新补丁可有效减少漏洞借助风险。
请登录后发表评论
注册
社交帐号登录