XELF病毒分析-秘密花园
秘密花园
概述母包结构
当我们拿到样本的时候查看内部的代码结构,可以判定这里面被里面插入广告sdk和几个莫名其妙的so以及一些加密的文件,当然我们首先就是需要了解每个文件都是用来干嘛,哪些代码块是恶意插入需要我们重点分析的,还有apk内携带的so文件以及其他文件是用来做什么的都是需要我们能结合apk本身一步步动静结合的去分析。
样本的主要行为,通过我们沙箱日志分析发现,样本主要是通过PopupWindows弹框广告,释放自身携带的加密so,获取系统root权限,检测模拟器,此病毒入侵手机后破坏性极强,不仅删除各种Root工具底层模块,还禁用安全软件,导致手机应用异常崩溃。甚至在获取到Root权限后卸载各种安全软件,以至于其他Root工具很难再得到权限,彻底清除病毒变得十分麻烦。
其中恶意代码结构如下:
eu:被加密的java文件,广告加载代码和弹框关键代码部分;
sk:模拟器检测文件;
frsbr:加密的so文件,也是主要的恶意elf模块
母包中被插入的恶意代码模块:
、
其中母包中恶意代码块需要用到的注册清单如下:
在这份清单中我们可以清楚的看到给类服务广播的启动方式,以及注册的activity和广告商,通过清单中的这些入口我们就可以按图索骥进一步深入了解病毒的具体行为属性。
母包行为解剖
主程序入口:
com.swifty.fillcolor.controller.main.MainActivity
MainActivity启动入口
、
下面我先从java代码部分进行下一步,由启动入口可知SdkInitialize是个突破口。
通过分析.class public Lcom/kjiklzskyc/cn/SdkInitialize;这部分代码可以看出这里是定义恶意程序需要调用到的一些属性和方法。
这里面所有调用的路径方法名等都是被加密了
以上的代码的主要作用主要是定义一些请求的方法参数、用安装的apk信息、推广下载的apk渠道信息、监控用户的安装动作。
这段代码模块中启动了一个重要的service
ExitService.
我们以这几个service为突破口,看下他在清单中注册情况
从清单中我们可以找到PopouWindowActivity下面注册的四个重要service
SuspensionWindow、FloatWindowService、ExitService、ExternalService
从清单中我们还能发现一个重要的广播MyReceiver,静态注册了这个广播的四种启动方式
android.intent.action.PACKAGE_ADDED
android.intent.action.BOOT_COMPLETED
android.net.conn.CONNECTIVITY_CHANGE
android.intent.action.USER_PRESENT
当MyReceiver检测到有新的安装包的时候立即启动广播,一旦安装完成,立马启动推广下载的apk,主要为了为了实现推广应用的安装启动,模拟用户,从而达到获取非法利益。
启动相关的Service:
利用SystemClock每隔1s启动一次ExternalService从而实现在PopupWindowActivity间隔一次的弹框广告:
利用PopouWindow实现广告弹框:
通过四种不同的静态注册,从而启动恶意广告的广播服务实现在PopouWindow推广广告的展示。
android.intent.action.SCREEN_ON
android.intent.action.SCREEN_OFF
android.intent.action.USER_PRESENT
android.net.conn.CONNECTIVITY_CHANGE
其中这些恶意代码注册的关键模块在正常的java代码部分是发现不的,这里我通过调试发现这些主要的恶意行为都在加密的eu文件当中。
通过抓包分析可以发现这里访问的关键网址链接。
部分如下:
从其访问的链接可以分析这里面有三家广告厂商:
移触科技
腾讯广点通
百度网盟
下面我们来重点分析下腾讯广点通和百度网盟。
腾讯广点通:
http://mi.gdt.qq.com/gdt_mview.fcg?posw=600&posh=500&count=3&r=0.7759157740131813&encext=IyIW6l6t9ISKB_ey8p7f2HOVkP-4j_O3F5mlZ45CKqk&datatype=2&encver=1&posid=8090310972044653&adposcount=1&ext=%7B"req"%3A%7B"scs"%3A"000110b3795a"%2C"conn"%3A1%2C"muidtype"%3A1%2C"c_market"%3A"2"%2C"ast"%3A%7B"de"%3A"hammerhead"%2C"is_d"%3Afalse%2C"hw"%3A"hammerhead"%2C"br"%3A"google"%2C"sr"%3A"030801dd09351460"%2C"pr"%3A"hammerhead"%2C"fp"%3A"google%5C%2Fhammerhead%5C%2Fhammerhead%3A4.4.2%5C%2FKOT49H%5C%2F937116%3Auser%5C%2Frelease-keys"%7D%2C"lng"%3A1000000%2C"c_w"%3A360%2C"c_device"%3A"Nexus%205"%2C"c_osver"%3A"4.4.2"%2C"shs"%3Atrue%2C"tmpallpt"%3Atrue%2C"carrier"%3A0%2C"c_pkgname"%3A"com.mimi.tuse"%2C"c_os"%3A"android"%2C"c_h"%3A592%2C"lat"%3A1000000%2C"jsver"%3A"4.1.000"%2C"inline_full_screen"%3A1%2C"c_devicetype"%3A1%2C"m6"%3A"5f27dde10bfa8adadfd122521b0a01ef"%2C"sdkver"%3A"4.8"%2C"m1"%3A"cc7cd2d6ed45226265a21a053645cee9"%2C"m2"%3A"35b9ab5a36f3234dd26db357fd4a0dc1"%2C"m3"%3A"5ca1613620802f678454a7a25da03a30"%2C"c_hl"%3A"zh"%2C"muid"%3A"cc7cd2d6ed45226265a21a053645cee9"%2C"filterappname"%3A%5B%5D%2C"c_mf"%3A"LGE"%2C"location_accuracy"%3A0%2C"postype"%3A2%2C"dcs"%3A1%2C"c_sdfree"%3A12505939968%2C"deep_link_version"%3A1%2C"gdtid"%3A"cc7cd2d6ed45226265a21a053645cee9_1490758026549"%2C"c_ori"%3A0%7D%7D
上面网址解析内容如下:
解析json,然后通过popouwindow展示推广的商品信息
百度网盟:
首先会判断户机型等信息访问URL下载广告sdk文件然后调用广告sdk推广apk文件。
百度网盟广告流程图
通过加载百度网盟广告sdk我们推广应用的信息,一旦我们点击就会下载到路径bddownload下面去,同时会母包会模拟用户点击使用,一旦我们点击安装,这些应用就会在安装完成后自动打开运行。
推广下载的部分携毒apk如下:
|
清理大师 |
8f792985d6aa8748361ec7bb25e3cc7b |
|
Android |
bc4ba2faff9cd50aa628399dcb26e247 |
|
securty |
9afb96cf1ff6249ea397097ed6bdcd8e |
|
云朵护眼 |
f344ad04464a902c4a2bd15ea2aa8b2f |
|
手机极速清理 |
e64f08de45226e1a8203a9cf1ca27e85 |
获取下载未安装的文件信息通过伪造系统更新、或者系统已安装的某些安装软件更新诱导用户点击安装。
整合上面所有信息我可以描绘出母包行为流程图如下:
母包行为流程图
以上主要是母包java代码部分的行为,下面我们来了解下母包携带的加密so文件,在释放过程中会给我们造成哪些危害行为。
ELF文件行为
So的释放:
获取解密的key值:
解密后的so结构如下:
具体分析释放的恶意elf行为流程:
恶意elf具有极强的系统破坏力,且难以清除,且自身还会下载安装病毒子包,病毒子包同样会推荐下载其他病毒程序,这种恶意嵌套推广危害力巨大。
ELF行为流程图
总结病毒行为
此类样本的主要行为:
- 样本启动后会向系统目录下面释放一个被加密的ELF文件,母包会联网下载广告图片,推送弹框广告;
- 母包检测已经下载安装的APK信息,伪造系统或者安全软件更新诱导用户安装;
- 推广的应用下载安装完成后就会自启动,从而达到模拟用户点击使用获取推广利益;
- SK文件检测模拟器和虚拟机环境,干扰沙箱检测;
- 释放的ELF文件会获取系统权限,破坏卸载其他root工具的正常使用,导致恶意的ELF文件无法被删除;
- ELF文件同时会从远端获取指令,静默下载安装其他其他恶意子包,且安装的系统目录下面导致无法卸载;
- 恶意子包进一步获取从远端获取指令静默下载安装其他恶意子包;恶意子包的行为静默安装卸载,获取用户安装的文件信息并上传到远端服务器。
XELF病毒分析-秘密花园相关推荐
- C:/WINDOWS/system32/x 病毒分析和解决建议
系统出现问题,症状有: 偶尔很卡,CPU并没有很高的进程: 死机,屏幕锁定,键盘失灵,仅鼠标能移动,但是不能任何操作: 只能强行重新启动: NOD32会报以下病毒警告: C:/WINDOWS/syst ...
- 熊猫烧香变种病毒分析
熊猫烧香变种病毒分析分析报告 样本名 2_dump_SCY.exe(熊猫烧香) 作者 yusakul 时间 2018-07-13 平台 Win7-32 1.样本概况 1.1 样本信息 病毒名称 2_d ...
- 013 Android锁机病毒分析
文章目录 免流服务器-锁机病毒分析 秒抢红包-锁机病毒分析 免流服务器-锁机病毒分析 首先来分析这个免流服务器的锁机病毒,文件信息如下 文件: 免流服务器.apk 大小: 799835 bytes 修 ...
- Android逆向与病毒分析
本文由同程旅游安全团队对内移动安全培训的PPT整理而来,面向对象为对移动安全感兴趣的研发同事,所以讲的有些宽泛.介绍了入门Android逆向需要掌握的一些知识点, 通过简单的几个案例讲解Android ...
- 一个感染型木马病毒分析(二)
作者:龙飞雪 0x1序言 前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了 ...
- 分享几个病毒分析检测网址
1.在线病毒分析网站: 以下网站上传样本后,很快就会在网页上出报告的: (1)这个网址报告格式很简洁,我很喜欢:http://camas.comodo.com/ (2)这个网址的报告最全面,而且会真的 ...
- 更新 箫心病毒分析专家2006 build 5.23(C#2.0)
箫心病毒分析专家2006 build 5.23版介绍: 箫心病毒分析专家顾名思义,是一款帮助你查找本机电脑病毒,恶意脚本,***程序 ,各类***程序的一款完全免费的绿色经典软件. 1, 运 ...
- ×××病毒分析工具集之File Format Identifier v1.0
本工具是一款辅助进行病毒分析的工具,它包括各种文件格式识别功能,使用×××的格式识别引擎部分代码,集查壳.PE文件编辑.MD5计算以及快捷的第三方工具利用等功能,适合病毒分析中对一些病毒***样本进行 ...
- WannaCry勒索病毒分析 **下**
WannaCry勒索病毒分析 下 在WannaCry.exe的分析实战 上 里面我已经拿到了WannaCry.exe在资源文件中的PE文件,并且给它提了个名WannaCry_PE.exe文件.但在Wa ...
最新文章
- iOS安全攻防(十七):Fishhook
- 解读main()方法中的String[] args
- springboot 自动配置
- 从零开始入门 K8s | Kata Containers 创始人带你入门安全容器技术
- 发布与订阅消息--Redis学习笔记八
- Blockquotes,引用,html里面,经常用到的一个!
- flex 有关数据类型强制转
- 移植linux内核-映像文件,移植Linux内核-映像文件
- java 去掉 t_java中的“\t”
- remmima 不能保存_Vue项目实现表单登录页保存账号和密码到cookie功能_婳祎_前端开发者...
- mysql和mysqli的区别
- 怎么更改wifi频段_科普 | 你了解WiFi信号扩展器吗?
- android usb 开钱箱_USB打印机开钱箱
- PS-第五天-图层样式
- 2019_WSDM_Session-Based Social Recommendation via Dynamic Graph Attention Networks
- 201809CCF真题
- 成都计算机职业学院排名,成都市计算机专业职业院校排名
- 基于 VIVADO 的 AM 调制解调(3)仿真验证
- RecyclerView+index索引实现仿微信通讯录
- 【无标题】文档转成二维码添加到公众号文章(Word、Excel、PPT、PDF等)