Loading
0

手机APP暗藏杀机:SexTrap色情病毒解析

' ZhaoHuan 2016年9月7日 病毒分析 275 0

背景

8月14日凌晨,王宝强通过社交媒体发布离婚声明,消息一出即刻引爆社交圈。一夜之间,部分恶意开发者立即抓住机会,利用此次事件散播“xx抓奸视频”“宋x马x录像”等恶意链接,并悄然传播,极大地威胁着“吃瓜群众”的隐私和财产安全。

通过伪装成“色情视频”“美女写真”等所谓宅男福利以进行恶意传播的现象,在PC端已司空见惯。 按理说用户对这类老套的手法早就有较强的防范意识,但据安天AVL移动安全团队和猎豹移动安全实验室最新捕获的一个病毒发现,这种手法虽然老套,但是恶意攻击效果之显著,令人咋舌。

近期,安天AVL移动安全团队和猎豹移动安全实验室捕获一款名为SexTrap的病毒,该病毒潜伏在色情应用中,一旦用户下载并安装该色情应用,灾难将降临至用户手机中。SexTrap病毒一旦运行,将立即加载恶意子包私自提权以获取Root权限,利用手机最高权限将下载的核心推送模块推送到系统目录下并锁定,使用户难以察觉和卸载;然后私自联网获取推送数据,进一步向用户手机系统目录推送包含恶意扣费模块的恶意应用,并通过远程控制指令启动运行此类应用,给用户造成极大经济损失。

哪个省份的用户最容易中招?

SexTrap病毒自6月捕获至今,在国内大部分地区广泛传播。截止目前各个省份的感染情况如下图所示。从图中可以看出,广东省是病毒感染人数最多的省份,山东省紧跟其后,随后是北京市、河北省以及河南省。

                                                                      32t

 

病毒详细分析

病毒运行流程

2.jpg 

SexTrap病毒运行流程可以分为三个部分

Part1:通过母体程序加载调用恶意子包

携带SexTrap病毒的母体程序运行时加载libMwzgrqfvuo.so(每个母体内

的so文件名称不同,以此为例)文件,通过so文件调用资源文件中名为“xme.png”实为apk程序的恶意子包。该程序通过类加载器反射调用恶意子包中com.dex.kit.MainClass类的startAction方法来启动恶意子包。

Part2:私自对用户手机提权,联网下载核心推送模块

a)    恶意子包启动时联网上传用户手机型号等信息获取Root方案和下载地址,下载相应的提权文件并解密,利用Android漏洞对用户手机进行提权。

b)    联网获取下载SexTrap病毒核心推送模块的下载地址和指令信息。该恶意程序通过二次联网下载核心推送模块,并将其静默安装并推送到系统目录下,最后执行网络指令启动该模块。

c)     恶意子包读取并解析母体程序资源文件夹中的mcg.bak文件,获取恶意程序的下载地址和启动指令,联网下载恶意程序然后将其推送到系统目录下并通过指令启动。该恶意应用同样具有推送的功能。

Part3:下载、安装、运行、推送应用

核心推送模块启动后会不断联网获取推送数据并下载推送的apk,同时利用Root权限将其推送到系统目录下,然后静默安装,最后通过网络指令使用将其启动,对用户造成极大的资费损耗。

工作原理

1.加载调用恶意子包

SexTrap病毒运行时加载so文件,加载资源文件中的恶意子包,通过类加载器反射调用com.dex.kit.MainClass类的startAction方法来启动恶意子包。

3.png

so文件反射调用恶意子包。

4.png

2.私自获取Root权限

恶意子包运行时会上传用户的手机信息,根据手机信息下载多种Root方案包括“858”、“778”、“611”、“841”、“52”,根据Root方案对应的提权文件对用户手机进行提权,提权成功后删除提权文件。

下载提权文件网络截图:

5.png

提权后释放的工具文件。

6.png 

3.下载安装核心模块

恶意子包在本地解密并获取核心模块的下载地址,进行下载。

7.png 

上图是获取核心模块下载地址的抓包截图。获取的数据主要包含字段“sd”:通过am启动KitService服务来远程启动核心模块、“dl”:核心模块下载地址、“pn”:核心模块包名。

8.png 

静默安装核心模块并通过上面获取的网络指令启动,同时将其推送到系统目录中并锁定。

9.png 

同时恶意子包还会读取母体程序资源文件mcg.bak,下载同类推送恶意程序。下载后的文件是一个zip文件,其中包含要安装的应用和启动指令。

10.png 

11.png 

cfg文件中保存着远程服务器控制安装应用和启动应用的指令。

12.png 

恶意子包下载的文件都会保存SD卡隐藏目录.work中。

13.png

4.推送恶意扣费应用

SexTrap病毒核心模块运行时会持续联网获取推送数据并保存在本地/data/data/<packagename>/shared_prefs/i_app_info.xml文件中。同时该病毒会将下载的恶意应用保存在SD卡Android/data/cache/tmp目录中,这些恶意应用被安装运行后会被删除。 

下图为部分联网推送的数据信息:

14.png 

保存在i_app_info.xml中的推送数据具体字段说明如下:

15.png

推送色情类的扣费App。

17.jpg 

总结

SexTrap病毒通过潜伏在色情应用中传播,方法较老套但是传播效果极佳。一方面,该病毒将恶意子包伪装成后缀为“.png”的文件,在安装完推广应用之后立即删除安装包文件,这一系列操作都是为了躲避杀软的查杀,隐蔽性极强。另一方面,该病毒为增加提权操作的成功率,会上传感染用户的设备信息,以获取针对性的Root方案和提权工具,攻击手段难以防范。从该病毒以及之前播报过的病毒可以看出,新出现的病毒大多隐蔽性极强,同时对Root的依赖性较高,安天AVL移动安全团队特此提醒广大用户尽量不要Root手机,一旦发现手机在不知情下被Root时,要警惕是否感染了病毒并立即安装杀毒软件对病毒进行查杀。

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。