当前位置: 代码迷 >> Android >> 【Android病毒分析汇报】 - AppPortal “恶意行为云端无限扩展”
  详细解决方案

【Android病毒分析汇报】 - AppPortal “恶意行为云端无限扩展”

热度:58   发布时间:2016-04-28 06:38:08.0
【Android病毒分析报告】 - AppPortal “恶意行为云端无限扩展”

本文章由Jack_Jia编写,转载请注明出处。  
文章链接:http://blog.csdn.net/jiazhijun/article/details/21172749

作者:Jack_Jia    邮箱: [email protected]


[email protected]?毒,该病毒架构设计简单灵活,完全实现了恶意代码的云端控制、插件化和动态可扩展。该病毒伪装成系统服务,且没有桌面图标,不易发现。

该病毒能够从服务端获取恶意插件列表信息。依次下载恶意插件并调用恶意插件代码,从目前监测到的恶意插件来看,下载的插件存在以下恶意行为:

1、  静默下载安装其它恶意程序。

2、  静默下载安装其它推广应用。

由于恶意插件下载列表由云端控制,一旦用户感染该病毒,有可能会在不知不觉的情况下被安装其它恶意软件及推广软件,消耗用户大量的数据流量。无限可能,后果不可估量,严重威胁到用户的隐私及账户安全。

安装该病毒约24小时后,经测试,会下载大量推广软件,如下图所示:

 

接下来我们对该病毒进行详细的分析:

 

1、恶意代码结构如下:


2.、注册监听大量系统广播,以便触发恶意代码

 

3、在对整个恶意代码进行分析后,我们得出了以下恶意代码的运行逻辑图


首先当设备开机、解锁等情况发生时,恶意软件将请求服务器获取恶意插件信息,并把恶意插件信息存储到本地数据库中,恶意软件会定时读取数据库插件信息,下载指定恶意插件并运行恶意插件代码。

下图为抓取到数据库文件,内容如下:

 

恶意软件将会从相应的URL下载JAR文件,然后通过DexClassLoader动态调用相应的恶意插件。


接下来我们分别对云端返回的两个恶意插件进行分析。

    

(1)      恶意插件一

MD5=DD46DB69096B55D120AAFC920220A1DD

 

恶意代码结构:


         恶意行为:

该恶意插件会请求Root权限,静默下载另一款恶意软件AndroidFileSystem.apk(下载地址:http://www.miuiapp.net:9394/marketing/ad/installer/AndroidFileSystem.apk),并把该恶意软件安装为系统应用。


我们会在后面对AndroidFileSystem.apk进行详细分析。

 

(2)      恶意插件二

MD5:779AC36160AB1285CF136321FB62D37B:

 

恶意代码结构:

 

         恶意行为:

该恶意插件从服务端获取推广应用列表,并静默下载安装推广应用。给用户带来高额的移动数据流浪费。

推广应用指令服务器地址:

http://api.chenxintao.com/pushok/info_rootsetup.php)。

 

恶意代码片段:

                  

获取推广应用列表

 

静默安装推广应用


安装成功后,启动推广应用        

 

接下来我们对恶意插件一安装的AndroidFileSystem.apk进行详细的分析:

AndroidFileSystem.apk恶意代码结构:


AndroidMainfest.xml注册的恶意组件:


该恶意软件也完全实现了恶意插件模块化和可定制化。

 

恶意行为:

AndroidFileSystem本身并不包含具体恶意行为代码,AndroidFileSystem启动后,首先请求云端获取具体插件代码信息。云端返回信息包含插件下载地址及插件代码调用方式。插件保存文件名为launcher.apk。


根据指令返回的插件信息调用插件代码:


我们根据云端返回信息,获取到了AndroidFileSystem下载的launcher.apk插件。

launcher.apk代码结构如下:


Launcher插件具体是干什么的呢,我们对该插件分析后发现,该插件其实也并不包含具体的恶意行为代码,launcher也需要通过访问云端获取具体的恶意行为代码插件。

Launcher会从云端获取具体恶意插件信息,下载指定的恶意行为插件

(恶意插件服务器地址:http://api.visonlee.com/plugin/entries.php),


并通过DexClassLoader动态调用插件代码。


 

        根据launcher服务器返回具体恶意行为插件信息,我们获取到如下恶意插件p_4.apk:

      p_4.apk代码结构如下:


该具体恶意行为插件会模拟adwo广告平台协议,自动化模拟点击广告平台广告,骗取广告平台软件推广费,同时该行为会给用户带来高额的移动数据流量费。

具体恶意代码如下:


  同时恶意开发者也对其它的广告平台进行了协议模拟。

 

通过以上分析可以看着,恶意软件作者通过插件化的设计,可以使恶意软件的功能通过云端控制得到不断的扩充。这样的设计也有利于躲避安全软件的检测。

该恶意软件涉及到的指令服务器包括:

visonlee.com     50.62.10.186[美国]

miuiapp.net     183.60.142.175[广东省东莞市 电信]

chenxintao.com   106.187.91.191[日本]

51appchina.com  123.183.211.138 [河北省廊坊市 电信]

 

 

  相关解决方案