作者:360移动安全团队
一、概述
近期,360移动安全团队监测到一款云控木马正在集中爆发。该木马家族最早于2015年2月被360移动安全团队捕获,目前已经累计样本超过1.2万个。由于该木马有多个版本演变并会下载多个恶意文件执行恶意行为,我们将该木马命名为“舞毒蛾”。
“舞毒蛾”木马是一个典型的云控木马,会联网下载恶意代码包并在本地释放提权代码,静默申请手机Root权限,不仅会向系统写入恶意文件,还会注入到系统进程,从而实现隐私窃取,私自下载、静默安装其他应用,频繁弹广告以及私自订阅扣费业务等多种恶意行为,给用户造成隐私泄露和经济损失。
我们研究发现“舞毒蛾”木马演变过程中不断增强自己提权模块的能力,在后期演变中增加了针对三星 Galaxy S6及采用MTK芯片手机的支持。
截至2016年2月底的监测统计数据显示,“舞毒蛾”木马累计感染量高达340余万。其中,三星和OPPP手机用户的感染量最大。
通过搜索引擎能够发现大量中招网友的反馈:
二、感染量
1、国内地区感染分布
360移动安全团队监测到从2015年2月到2016年2月底,“舞毒蛾”木马累计感染量高达340余万,国内感染量接近330万,从感染地区分布图中可以看出广东、河南是木马感染的重灾区。
2、全球地区感染分布
相对全球地区手机用户,“舞毒蛾”木马主要感染亚洲地区的国家,感染最严重的前三个国家是中国、印度和印度尼西亚。
3、感染手机品牌
从感染的手机厂商数据显示,三星和OPPO是感染最严重的手机品牌。由于“舞毒蛾”木马后期增加了针对三星 Galaxy S6及采用MTK芯片手机的支持,也是三星和国内主流采用MTK芯片的手机感染量大的原因之一。
三、传播来源
1、月增样本变化
截至到2016年2月底,360移动安全团队共捕获到“舞毒蛾”木马样本1.2万余个,从月捕获样本数量可以看出,“舞毒蛾”在2015年底开始呈现爆发式增长,仅2016年2月期间就捕获到近8000个。
2、传播来源统计
360移动安全团队研究发现,“舞毒蛾”木马主要借助名称具有诱惑性、图标暴露的色情播放器类恶意软件进行传播,色情播放器名称例如,OXPlayer、无码快播、18禁影院、无码快播、黄色快播、爱爱快播等等,由于色情播放器类恶意软件的数量已达千万级别,因此该木马的传播能力极强。
统计结果显示,“舞毒蛾”木马主要伪装成热门应用,例如,美图秀秀、小米便签、芒果卫视、天天消消乐、消灭星星等。
四、深入分析
1、木马流程图
“舞毒蛾”木马运行后,会联网上传配置信息,请求包含多个恶意文件的核心模块下载地址。在早期的版本中,其还会本地释放核心模块。
2、核心模块功能
360移动安全团队分析发现,“舞毒蛾”木马的核心模块共包含了八大功能。其中包括获取Root,篡改系统文件、恶意扣费、隐私窃取、恶意广告、静默下载安装其他应用六大恶意行为。同时,该木马还通过检测运行环境,监控文件变化进行自我保护;联网更新来实现功能升级。
1)获取Root
“舞毒蛾”木马会加载Root提权模块libgetroot.so,尝试利用多个系统漏洞,以获取Root权限。
2)篡改系统文件
创建以下文件及目录:
-
/system/bin/xsxux
-
/system/xbin/xsxux
-
/system/bin/droidamd
-
/system/etc/droidamd
-
/system/bin/droiddbg
-
/system/etc/debuggerd
-
/data/andobs/ob
-
/data/andobs/ob.jar
-
/data/andcort/cort
-
/data/andcort/cort.jar
-
/data/droidamd/droidget
-
/data/droidamd/lock
-
/data/droidamd/wlog
-
/data/droidamd/tmp
修改系统文件:
-
/system/etc/install-recovery.sh
3)恶意扣费
释放libmms.jar、libmms.so及inject,并注入phone进程实现发送和屏蔽短信的功能。
屏蔽短信列表
4)恶意广告
“舞毒蛾”木马释放的恶意文件潜伏在系统应用中,频繁弹出全屏广告,严重干扰手机正常使用。
5)自我保护
“舞毒蛾”木马还会检查运行环境,试图对抗沙箱检测。
另外,还会创建自我保护线程,通过inotify_add_watch()监控”/system/bin”、”/system/etc”、” /system/app”目录下文件变化,防止被删除。
6)下载安装
“舞毒蛾”木马访问www[.]abcdododo[.]com/a/andob/getdata.php 获取服务器指令,服务器指令经过异或算法解密后可以得到恶意软件的下载地址:hxxp://120[.]26[.]129[.]140/android/rootapk/andob/app.zip。
静默安装应用
7)窃取隐私
“舞毒蛾”木马会窃取隐私,上传用户手机号码、IMEI、IMSI以及其他固件信息。
8)联网更新
联网下载加密的核心模块,本地进行解密,从而实现自我更新。
3、核心模块演变
360移动安全团队从“舞毒蛾”木马核心模块下载地址的变化,发现该木马核心模块五个典型的版本变化。
1)不同版本时间轴
通过对首个捕获的“舞毒蛾”木马样本持续关注,结合其下载地址的变化,我们在2015年底发现了后续的三个版本。值得一提的是,在今年年初发现的版本5,其下载地址变化更加有规律性,增加了日期信息。版本5虽然核心模块功能基本一致,但是更新更加频繁,几乎每天都在进行文件更新。
2)不同版本差异
木马作者从开发版本1到版本5的过程中,进行了多方面的改进。在木马对抗方面,对核心模块的隐藏方法进行不断升级;在木马恶意功能方面,随着释放文件个数的增加,执行的恶意行为更加全面;在木马结构方面,结构更加复杂,各模块间实现功能替补,相互保护。
3)提权漏洞
“舞毒蛾”木马演变过程中不断增强自己提权模块的能力,最初的版本仅使用了:
后续版本增加了针对三星Galaxy S6及采用MTK芯片手机的漏洞利用模块:
五、溯源
1、C&C服务器关系
360移动安全团队在分析“舞毒蛾”木马C&C服务器过程中,发现与木马私自下载、更新、推广功能相关的多个服务器,都是由xiansheng xu注册,注册邮箱:weet2453@gmail.com;与核心模块下载相关的服务器,都是由Qiong Yang注册,注册邮箱:2770752877@qq.com。推广服务器域名关系如下图:
六、总结
360移动安全团队研究发现,联网下载带有提权功能的恶意包是木马出现的新趋势。这类木马结构复杂,一旦某个模块被删除,其他模块还会实现功能替补,达到各功能模块互相保护,难以彻底清除。360手机卫士的手机急救箱提供了完美的解决方案,可以有效针对此类木马查杀及系统文件修复,用户可以通过360手机卫士的手机急救箱彻底查杀。我们将继续关注此类安全威胁。
360手机卫士的手机急救箱查杀截图
360手机卫士下载地址:http://shouji.360.cn/
手机急救箱下载地址: http://jijiu.360.cn/
发表评论
您还未登录,请先登录。
登录