中文版 Global
首页 > 安全资讯 > 正文

安卓党注意!“刷赞狂魔”病毒来袭,小心秒变“僵尸粉”!

  • 2020-04-16 21:57:30

   活跃于社交网络的“点赞狂魔”,已见怪不怪,现如今,却有一种病毒版的“刷赞狂魔”,活跃网络。近日,360安全大脑详细披露了一种兼容安卓64位的Android Native病毒——“刷赞狂魔”。

   该病毒以虚假色情应用为诱饵诱使用户上钩,暗地里悄悄通过短视频网络接口给短视频疯狂刷赞、为公众号刷阅读量,在不知不觉中让普通用户变身刷赞“僵尸粉”。广大用户可下载安装360手机卫士拦截查杀此类病毒。

   不同于一般病毒,“刷赞狂魔”病毒十分狡猾。从360安全大脑追踪数据看来,该病毒不仅能通过修改系统文件、云控加载等技术手段躲避杀毒软件,还会利用CVE-2019-2025(水滴漏洞)等多个Android系统漏洞获取手机最高的ROOT权限。这也就导致,一旦手机感染该病毒,将被植入大量难以删除的底层恶意模块,惨变“工具人”之余,还可能碰到恶意扣费的情况。

   从危害上来看,“刷赞狂魔”病毒主要特征是,让中招手机沦为短视频刷赞、公众号刷阅读量“僵尸粉”,并在用户不知情的情况下,私自订购付费业务,拦截扣费短信,造成直接经济损失。在传播途径上,该病毒主要通过色情应用、小游戏等多种方式进行传播。


   综合360安全大脑监测数据而言,该病毒可使用多个Android系统漏洞获取手机最高ROOT权限,修改系统文件(aee_aed/debuggerd),利用SVC指令隐蔽地加载病毒主体文件,和云端下载payload(载荷),使用自定义加密算法,保护自身不被杀毒软件发现。

   “刷赞狂魔”病毒感染手机后,会先从云端服务器下载ROOT提权工具包,解密并释放病毒主体文件kms_02ext,以获得更高的手机ROOT权限,用以执行刷赞、刷阅读量和恶意扣费等不法操作。经360安全大脑分析指出,“刷赞狂魔”病毒从云端下载ROOT提权工具包前,其实会有一个复杂且隐蔽的准备阶段。

   当用户无意中下载了带有病毒的应用时,打开应用界面,会先看到转圈加载等待画面。这时,应用其实在“暗度陈仓”,偷偷上传用户手机号、设备信息,并下载ROOT提权工具包等其他功能模块,为获取手机ROOT权限等恶意行为做准备。这一过程中,该应用会释放并下载近50个jar文件。


   为了让更多的用户中招,该病毒应用还会在虚假色情应用显示的视频页面,显示用户评论以增加可信度,打消用户防范心理。而经360安全大脑溯源分析发现,视频页面评论及ID,均为预先设定内容,只是为了进一步迷惑用户。

   此外,该病毒应用还使用了多个数据库文件,分门别类存储对应信息。

   该病毒dfsywwy.data数据库中存储了大量待下载jar文件,插件数目之庞大可见一斑。具体如下:

   当病毒应用释放的ss.jar文件成功从云端下载upnpclz.apk后,也就为进一步下载ROOT提权工具包做好了准备。

第一步:ROOT提权

   upnpclz.apk加载起来后会检查更新,并从云端下载ROOT提权工具包imgs_9.zip,解密后得到upz_5压缩文件。


    接下来,其会加载libkm05.so(64位手机则是libkm05_64.so),并调用其中的2个JNI函数,解密km01以释放“刷赞狂魔”病毒主体文件kms_02ext。

   至此,病毒主体文件kms_02ext运行后,会最终释放“刷赞狂魔”病毒核心作恶模块km09_2970.so,并调用km09_2970.so的func_3( )函数,完成ROOT提权、释放核心elf文件等操作。如此漫长的释放链,可以说“刷赞狂魔”病毒的求生欲十分强烈。

   需要注意的是,func_3( )函数中,病毒首先会向C&C服务器POST设备信息,识别手机型号,以选用合适的提权方案获取手机ROOT权限。在这一过程中,病毒主要使用了CVE-2013-2595、CVE-2016-5195(脏牛)、CVE-2019-2025 (水滴)等漏洞实现手机ROOT提权。

第二步:短视频刷赞

   成功获取手机ROOT权限后,核心作恶模块km09_2970.so会从云端下载解密短视频刷赞模块v15.zip(解密后为一个SO文件),并加载该SO文件的do_main( )函数,用于下载并解密v18_u.zip,其为完全解密的“刷赞狂魔”病毒主体文件kms_02ext,当病毒主体被删除后,仍可通过该方式“满血复活”。

   接着,libdy.so会读取短视频应用的token_shared_preference.xml、applog_stats.xml、Cookies文件获取自动刷赞所需的用户token等个人登录信息,构造完整的短视频刷赞请求URL,并通过解析返回结果"status_code"、"is_digg"参数值,判断刷赞是否成功。

    除此之外,恶意模块km09_2970.so还会释放恶意文件liblad.so、wxop.dex。liblad.so会在.init_array节中加载病毒文件/system/bin/debuggerro,并在my_entry( )函数中创建新线程加载wxop.dex的com.wxop.Entry类的入口函数DoOp( ),通过某社交应用的Webview来访问指定URL,为公众号刷阅读量。其刷公众号阅读量的代码片段如下:

第三步:恶意扣费

   如果说,病毒刷赞是把普通用户变成“工具人”,那么接下来的恶意扣费,就直接危及用户的钱包。这次,病毒释放的恶意模块km09_2970.so,会把恶意文件1.so、jarop.dex.jar注入com.android.phone进程,以监控收发读写手机短信,甚至私自订阅付费业务,并拦截扣费短信。

   该病毒执行短信屏蔽的恶意代码片段如下:

相关C&C服务器信息

相关APK列表

   对普通用户来说,“刷赞狂魔”病毒强行占有用户手机刷赞、刷阅读量,不仅影响了手机正常使用造成个人信息泄露,漏洞的恶意利用还直接对用户手机的安全构成了巨大威胁。同时,对用户来说,当病毒作者获取ROOT权限后,无异于将手机完全交于不法分子,一旦被利用极可能造成无法挽回的损失。 

   对此,360安全大脑给出如下安全建议:

     1、寻找“360手机卫士”神助攻:及时通过360手机卫士官网及各大应用市场安装/更新360手机卫士,对爱机进行一次全面“体检”;

     2、防微杜渐:若手机出现异常发热、霸屏广告等反常现象,及时使用360手机卫士进行体检、扫描查杀病毒;

     3、警惕桃色陷阱:病毒作者常利用人们的猎奇心理,精心设好陷阱等待用户上钩,广大手机用户切莫抱有侥幸心理,通过正规手机应用市场下载安装应用可有效规避中招风险;

     4、谨慎放行:杀毒软件提示病毒的,切勿轻信病毒软件提示添加信任;

     5、及时更新系统及补丁:及时升级系统、安装系统更新补丁可有效降低漏洞利用风险。



360安全卫士

热点排行

用户
反馈 返回
顶部