2015年8月,酷派大神手機用戶在安裝官方提供的系統升級包后,手機便被預安裝了MonkeyTest和TimeService等未知軟件。截止到9月18日,該類病毒的每日感染量已經擴大到了最高70萬臺/天,有上萬種機型收到了Ghost Push的影響,典型的有酷派、三星、MOTO等等(附件一提供了所有受影響機型列表)。
通過數據分析如圖1所示,我們發現Ghost Push病毒感染用戶主要分布于美國、俄羅斯、印度、中國等。相對在中國而言,云南、廣東感染量最高。
圖1 感染分布圖
我們稱這類病毒為Ghost Push病毒。該類病毒軟件開機自動運行,通過用戶數據流量進行廣告推送,并且在未經過用戶允許的情況下靜默下載安裝應用。甚至用戶無法通過手機殺毒軟件、手動卸載該類病毒。手機感染之后如圖2所示。
圖2 感染Ghost Push病毒的手機舉例
Ghost Push病毒已經給安卓用戶造成了巨大的困擾。本文就Ghost Push的執行流程進行詳細的分析,同時也提出了針對這類病毒的解決方案及安全建議。
Ghost Push病毒在執行的過程當中,會獲取Root權限,通過用戶數據流量進行廣告推送、靜默下載安裝應用。具體的流程如圖3所示。
圖3 Ghost Push病毒執行流程
首先,攻擊者將惡意代碼注入到合法的應用當中,通過二次打包,偽裝成為原本的合法應用(被感染的應用列表如附件二所示)。一旦用戶下載了被注入惡意代碼的“正常”應用,應用中的惡意代碼便開始執行,具體執行過程如下。
1.1 獲取Root權限
惡意代碼首先向服務器http://api.aedxdrcb.com/ggview/rsddateindex發送手機的型號等配置信息。隨后從服務器端獲取Root工具包http://down.upgamecdn.com/onekeysdk/tr_new/rt_0915_130.apk。該Root工具包利用手機存在的漏洞,獲取手機的Root權限。目前可以適配上萬種機型,成功執行Root提權操作。
本文列出了針對三星、MTK兩家廠商的Root執行代碼,如圖4.a和圖4.b所示。
圖4.a 三星ROOT方案
圖4.b MTK ROOT方案
在獲取了Root權限之后,惡意代碼執行四類操作:1)替換debuggerd文件;2)修改install-recovery.sh文件;3)釋放惡意bin文件;4)安裝ROM病毒。
1.2 替換debuggerd文件
病毒會將原系統的debuggerd文件另存為debuggerd-test文件,并將自己的惡意bin文件保存為系統的debuggerd文件,如圖5所示。
圖5 替換debuggerd文件
1.3 修改install-recovery.sh文件
病毒修改系統的install-recovery.sh文件,如圖6所示。
圖6 修改install-recovery.sh文件
1.4 釋放惡意bin文件
病毒將惡意bin文件的二進制代碼固定內嵌在Java代碼中,并在執行的過程中,向/system/xbin目錄下釋放。
圖7 釋放bin文件
1.5 安裝ROM病毒
在惡意代碼執行的過程中,會向系統目錄/system/priv-app或/system/app中寫入如camera_update應用的病毒母體,如圖8所示。
圖8 釋放病毒母體
由于獲得了Root權限,惡意代碼首先檢查/system/priv-app目錄下是否安裝了camera_update病毒母體。該病毒母體會在bin文件的守護下,一直存在在手機的ROM中,防止被卸載,詳見第二節分析。
病毒母體在安裝完畢后,會靜默安裝Time Service、Monkey Test等應用。這些應用會通過短連接方式從服務器(Monkey Test對應服務器:http://massla.hdyfhpoi.com/gkview/info/801; Time Service對應服務器:http://u.syllyq1n.com/mmslow/api/821。)獲取應用信息,在未經過用戶允許的情況下進行下載安裝,如圖9、圖10所示。
圖9 Monkey Test子包從服務器獲取應用信息
圖10 在用戶未知的情況下在ROM內安裝應用
2.1 bin文件守護ROM病毒母體
在系統啟動時,會執行install-recovery.sh與debuggerd文件。這兩個文件會執行釋放的惡意bin文件。bin文件會一直保持運行狀態,守護釋放在ROM中的病毒母體。并從服務器獲取最新病毒安裝包。
圖11 獲取最新病毒包
當病毒母體被刪除后,bin文件會自動再次下載并向ROM中安裝病毒母體,如圖12所示。
圖12 病毒母體守護流程
圖13 病毒母體安裝流程
2.2 bin文件防刪除
同時,在手機運行的過程中,通過圖14所示的chattr +i操作,使得用戶無法刪除惡意bin文件。
圖14 通過chattr +i操作防止用戶刪除bin文件
2.3 apk防卸載
Ghost Push病毒通過chattr + i操作使得用戶無法卸載已經安裝的apk應用,如圖15所示
圖15 通過chattr + i操作防止用戶卸載apk
Ghost Push病毒安裝的應用軟件均具有數據流量廣告推送、靜默安裝應用軟件兩種惡意行為。
3.1 廣告推送
通過Ghost Push病毒安裝、釋放在用戶手機上的應用,會通過手機數據流量向用戶推送廣告。具體流程如圖16所示。當用戶開啟屏幕時,便會觸發展示推送廣告推送。
圖16 開啟屏幕觸發廣告推送
值得注意的是,Ghost Push病毒在推送廣告的過程中,會首先關掉用戶手機的WiFi連接,通過用戶的手機流量來獲取需要推送的廣告內容,如圖15中紅色方框內容所示。在用戶不知情、未得到允許的情況下盜用了大量的數據流量。
3.2 應用推送
Ghost Push病毒母體釋放的Time Service、Monkey Test子包還會向用戶推送應用并安裝,如圖17所示。病毒從http://m.AEDXDRCB.COM/gcview/api/910獲取需要推廣的應用。
圖17獲取需要推廣的應用
返回的結果有不同的推廣類型,?比如直接后臺下載,快捷圖標,彈通知欄等方式。如圖18所示。
圖18獲取需要推廣應用請求返回
比如以下返回直接后臺下載的推廣應用。病毒會在在后臺下載完成后自動安裝,如圖19所示。
圖19 后臺安裝應用
Ghost Push病毒中各種推廣任務,會使用sqllite數據庫作為中轉,如圖20所示。
圖20 sqllite中轉推廣任務
在實際我們測試中, 可以看到以下的推廣數據,如圖21-24所示。
圖21 后臺推送應用日志文件
圖22 安裝應用
圖23 推送應用提醒用戶安裝
圖24 推送安裝應用列表(測試機已裝)
3.3無Root靜默安裝
為了進一步地保證成功地安裝下載應用,病毒還會誘導用戶開啟輔助功能,如圖24所示。之后如圖25所示的代碼,病毒通過輔助功能,模擬用戶點擊操作來成功地安裝應用。并且圖25左側文件列表也顯示出其可以適配不同系統市場(GooglePlayer、Lenovo、MIUI等)的安裝方式。
圖24 開啟輔助功能
圖25 通過輔助功能靜默安裝
4.1 解決方案
用戶可以選擇使用獵豹專殺工具https://play.google.com/store/apps/details?id=com.cleanmaster.security.stubborntrjkiller(即將更新上線)或手動刪除病毒軟件。手動刪除方法如下:
kill pid刪除惡意bin文件
mount -o remount rw /system #不同系統命令可能不同
chattr –ia /system/xbin/.ext.base
chattr –ia /system/xbin/.bat.base
chattr –ia /system/xbin/.zip.base
chattr –ia /system/xbin/.word.base
chattr –ia /system/xbin/.look.base
chattr –ia /system/xbin/.like.base
chattr –ia /system/xbin/.view.base
chattr –ia /system/xbin/.must.base
chattr –ia /system/xbin/.team.base
chattr –ia /system/xbin/.type.base
chattr –ia /system/xbin/.b
chattr –ia /system/xbin/.sys.apk
chattr –ia /system/xbin/.df
chattr –ia /system/bin/daemonuis
chattr –ia /system/bin/uis
chattr –ia /system/bin/debuggerd
chattr –ia /system/bin/nis
chattr –ia /system/bin/daemonnis
chattr –ia /system/bin/.daemon/nis
chattr –ia /system/bin/uis
chattr –ia /system/bin/.sr/nis
chattr –ia /system/bin/mis
chattr –ia /system/bin/daemonmis
chattr –ia /system/bin/.daemon/mis
chattr –ia /system/bin/.sc/mis
rm /system/xbin/.ext.base
rm /system/xbin/.bat.base
rm /system/xbin/.zip.base
rm /system/xbin/.word.base
rm /system/xbin/.look.base
rm /system/xbin/.like.base
rm /system/xbin/.view.base
rm /system/xbin/.must.base
rm /system/xbin/.team.base
rm /system/xbin/.type.base
rm /system/xbin/.b
rm /system/xbin/.sys.apk
rm /system/xbin/.df
rm /system/bin/daemonuis
rm /system/bin/uis
rm /system/bin/debuggerd
rm /system/bin/nis
rm /system/bin/daemonnis
rm /system/bin/.daemon/nis
rm /system/bin/uis
rm /system/bin/.sr/nis
rm /system/bin/mis
rm /system/bin/daemonmis
rm /system/bin/.daemon/mis
rm /system/bin/.sc/mis
cp /system/bin/debuggerd_test /system/bin/debuggerd
使用獵豹安全大師清除惡意軟件,無法清除的軟件使用以下命令清除。
chattr –ia /system/priv-app/cameraupdate.apk
chattr –ia /system/priv-app/com.android.wp.net.log.apk
rm -rf /data/data/com.android.camera.update
rm -rf /data/data/com.android.wp.net.log
rm /systam/priv-app/cameraupdate.apk
rm /systam/priv-app/com.android.wp.net.log.apk
adb shell
cp /system/etc/install-revcovery.sh /sdcard/
adb pull /sdcard/install-revcovery.sh
adb push install-revcovery.sh /sdcard/
cp /sdcard/install-revcovery.sh /system/etc/
打開/system/etc/install-recovery.sh,將其中如下代碼段注釋或刪除。
/system/bin/daemonuis --auto-daemon &
#!/system/bin/sh
/system/xbin/.ext.base &
#!/system/bin/sh
/system/xbin/.ext.base &
4.2 安全建議
建議用戶從正規應用市場下載應用,謹慎下載安裝附件二中的應用。同時,安裝獵豹安全大師,驗證下載應用的合法性,對手機進行實時的安全監控。
Ghost Push病毒通過廣告SDK或瀏覽器廣告進行大范圍的傳播,通過對病毒的跟蹤分析,得知Ghost Push這類病毒軟件偽裝成合法的軟件。用戶一旦感染,惡意代碼在開機時運行install-recovery,同時通過chattr + i命令防止用戶通過殺毒軟件建或手動卸載。惡意代碼通過用戶數據流量進行廣告推送,并且在未經過用戶允許的情況下靜默下載安裝應用,給眾多安卓用戶帶來了不可避免的影響及危害。
本文在對病毒執行流程進行分析之后,提供了用戶手動清除病毒的方法。最后,我們在對病毒來源進行分析之后發現病毒軟件的大部分簽名為C=CN/O=xinyinhe/OU=ngsteam/CN=ngsteam,來自于一家名為xinyinhe的公司。本著刨根問題的原則,我們也在附件三中對這家xinyinhe公司進行了全面的調查。
我們建議用戶從正規渠道下載應用,并且安裝獵豹安全大師,保證應用的合法性,實時維護用戶的手機安全。
[附件一] 部分受感染機型列表
[附件二] 感染應用列表(39項)
[附件三] 深圳市新銀河技術有限公司
直覺告訴我們,這家新銀河技術有限公司和一鍵ROOT大師有著千絲萬縷的聯系。不要問我們直覺哪里來的~~
那么到底這兩家公司有沒有關系呢?我們首先百度、谷歌了一下新銀河的官網,結果顯示這家公司沒有官網。于是——
我們上了拉鉤招聘發現了該公司的鏈接。
從招聘信息上我們得知http://www.ngemob.com和 http://root.ngemob.com 都是深圳市新銀河技術有限公司的網站。
找到公司官網之后,真相逐漸浮出水面!!!現在的一鍵ROOT大師http://www.dashi.com/和 http://www.ngemob.com? 使用過同一ip。
并且,國外的論壇上也經常出現一鍵ROOT大師和http://root.ngemob.com扯不清的關系
此外,我們還搜集了一些佐證。
佐證一:好搜百科。
佐證二:某鎖屏APP,由深圳市新銀河技術有限公司開發。
畢竟沒有官網并沒有給出任何明線表示兩家公司的聯系。我們也是推論猜測,沒有任何結論,請各位看官自行判斷。
最后,希望大家一起努力,相信獵豹,會給億萬用戶筑起安全防護墻!!!
病毒的清除方法視頻 :