原文地址:http://drops.wooyun.org/mobile/9567

最近，哈勃分析系統捕獲了一類惡意病毒，該類病毒會主動獲取root權限，私自安裝其他應用，卸載安全軟件，給用戶帶來巨大風險。

0x01 傳播途徑

偽裝成正規應用進行傳播。

0x02 惡意行為概述

該病毒監聽用戶解鎖動作和網絡連接變化啟動自身后，解密資源文件info.mp4，該文件解密后為包含多個root工具和惡意AndroidRTService.apk的zip包，用于獲取root權限；一旦獲取root權限后，拷貝AndroidRTService.apk到/system/app目錄，AndroidRTService.apk會訪問服務器獲取指令，卸載、下載安裝其他應用及彈出各種廣告。

0x03 詳細分析

3.1 樣本監聽USER_PRESENT和CONNECTIVITY_CHANGE廣播啟動后，判斷是否已經root：

3.2 如果還未root，就進行root操作：

root所需要的工具都隱藏在由DES加密過的資源文件info.mp4中，樣本會先解密info.mp4文件，然后嘗試進行root。

3.2.1 解密資源文件info.mp4：

資源文件info.mp4由DES加密，然而DES秘鑰被再次加密：

最終解密后的DES key為：a1f6R:Tu9q8。

由DES key解密資源文件info.mp4為info.mp4.zip，該zip文件需要密碼才能被解開：

3.2.2 獲取zip包解壓縮密碼：

解壓縮密碼由另外一DES加密：

最終得到的解壓縮密碼為：6f95R:T29q1。

3.2.3 解壓縮zip包：

zip包里包含了各種root工具(root_001~root_008)、權限管理工具及惡意apk。

3.2.1~3.2.3描述的解密過程可表述為：

3.2.4 root 操作：

調用root工具root_00*直到獲取root權限成功為止：

3.3 獲取root權限后，將AndroidRTService.apk拷貝到/system/app目錄下，并命名/system/app/Launcher**a.apk，以混淆用戶，防止被發現：

3.4 清理工作，刪除root過程中生成的文件，防止被發現：

3.5 惡意AndroidRTService.apk啟動后，獲取手機基本信息，訪問服務器獲取指令：

獲取廣告信息：

此外，還會獲取安裝、卸載指令，根據獲取到的指令進行相應操作：

安裝推廣應用：

0x04 查殺

騰訊哈勃分析系統識別：

騰訊電腦管家和手機管家識別：

樣本數據：infected.zip