这款病毒名为Fushicho,一旦运行,它首先会通过一系列手段攻击手机的“免疫系统”:联网下载root工具对用户手机进行提权处理,进一步根据文件中的sql语句将自身插入某知名杀毒软件白名单中,并通过“pm disable”命令禁用某知名杀毒软件,致使手机安全防护功能全线崩溃。
接下来Fushicho病毒会替换系统启动脚本文件,实现开机自启动并获得root权限。而为了使其自身成为手机中唯一具有root权限的应用,该病毒会删除手机中其他root程序、su文件。除此之外,由于病毒应用被锁在系统目录下,用户很难通过常规卸载手段清除该病毒。
至此,Fushicho病毒将紧紧扎根在手机中,像不死鸟一般难以消灭。同时该病毒将通过联网获取恶意扣费指令对手机进行长期的扣费并下载其他恶意扣费软件,使感染用户遭受巨大的财产损失。
接下来,我们将对这只病毒界的“不死鸟”进行详细的解剖分析。
以下为详细技术分析
获取提权工具下载地址:
解压后的文件如下所示:
各文件功能及作用如下表所示:
ql文件内容如下:
删除其他root权限:
将su文件重定向到系统目录中:
脚本运行时以守护进程的形式启动对应目录下的.sysd和android.sys文件
并联网向hxxp:// www.mmchong[.]com上传用户设备信息,获取短信相关扣费短信数据。
扣费短信数据解密后如下,其中字段port、cmd对应的是要发送的号码和内容,字段hport、hcmd对应的是要拦截的号码和短信内容,Fushicho病毒通过以上字段进行恶意扣费而用户无法感知。此外Fushicho病毒还会拦截包含“银行”和“快递”关键字段的短信。在接收到包含msg字段的值的短信时还会自动回复短信或联网发送拦截的短信。
推送的恶意应用:
接下来Fushicho病毒会替换系统启动脚本文件,实现开机自启动并获得root权限。而为了使其自身成为手机中唯一具有root权限的应用,该病毒会删除手机中其他root程序、su文件。除此之外,由于病毒应用被锁在系统目录下,用户很难通过常规卸载手段清除该病毒。
至此,Fushicho病毒将紧紧扎根在手机中,像不死鸟一般难以消灭。同时该病毒将通过联网获取恶意扣费指令对手机进行长期的扣费并下载其他恶意扣费软件,使感染用户遭受巨大的财产损失。
接下来,我们将对这只病毒界的“不死鸟”进行详细的解剖分析。
Fushicho病毒运行流程图
以下为详细技术分析
私自提权
Fushicho病毒运行时加载本地Pxivuurauu.so文件,解密资源文件中的ico.png文件来释放子包oko.jar。子包释放后被动态加载,并在本地解密。Fushicho病毒获取到提权工具下载地址后下载并解密,获取提权工具包cab.zip,解压并加载其中的data.jar文件,对用户手机提权。
获取提权工具下载地址:
解压后的文件如下所示:
各文件功能及作用如下表所示:
将自身写入某知名杀毒软件白名单
Fushicho病毒运行时解密root工具包中的ql文件获取将自身插入某知名杀毒软件白名单的sql语句,通过qlexec文件打开数据库并执行sql语句,将自身插入某知名杀毒软件白名单中来逃避检测。ql文件内容如下:
删除提权相关文件
Fushicho病毒在获得root权限后会删除手机中其他的root相关文件和apk程序,将下载提权工具包cab.zip中的su文件分别重定向到/system/xbin/.sysd,/system/bin/android.sys,/system/etc/android.sys,/system/etc/android.sys中。删除其他root权限:
将su文件重定向到系统目录中:
禁用某知名杀毒软件
Fushicho病毒通过“pm disable”命令禁用某知名杀毒软件,将该软件停止使用,并隐藏图标和已安装应用列表中的展示,致使用户无法找到该应用也无法重新安装该应用。
替换系统脚本文件
Fushicho病毒运行时会替换系统的启动脚本文件install-recovery.sh、install-recovery-2.sh,新的脚本文件将在手机启动后立即给Fushicho病毒赋予root权限。
脚本运行时以守护进程的形式启动对应目录下的.sysd和android.sys文件
恶意扣费
Fushicho病毒的扣费模块通过监听用户解锁、网络变化以及手机开机的系统广播启动,付费模块启动后联网获取付费短信数据和要拦截的短信关键字。并联网向hxxp:// www.mmchong[.]com上传用户设备信息,获取短信相关扣费短信数据。
扣费短信数据解密后如下,其中字段port、cmd对应的是要发送的号码和内容,字段hport、hcmd对应的是要拦截的号码和短信内容,Fushicho病毒通过以上字段进行恶意扣费而用户无法感知。此外Fushicho病毒还会拦截包含“银行”和“快递”关键字段的短信。在接收到包含msg字段的值的短信时还会自动回复短信或联网发送拦截的短信。
推送恶意应用
Fushicho病毒运行时解密root工具包中的data0文件,通过解析文件中的指令将root工具包中的恶意应用推送到系统目录下并启动。在推送时将这些恶意应用加锁,并修改创建时间为2008-01-01 00:00,伪装成系统应用让用户难以察觉。
推送的恶意应用:
总结
总体而言,Fushicho病毒一旦运行,将会通过攻击感染手机安装的杀毒软件来使整个手机的“免疫系统”形同虚设,并采取一列后续手段将其自身紧紧扎根于手机中,用户很难通过常规卸载手段来清除。此外,从上述攻击步骤可以看出,Fushicho病毒非常注重root权限,从自身提权,到删除其他root工具,再到替换系统启动脚本,使自身可以在系统启动的第一时间得到root权限。这一系列操作之后,Fushicho病毒成为系统第一个也是唯一一个有root权限的应用。 在保证“不死”的情况下,“不死鸟”(Fushicho)病毒将通过发送恶意扣费短信持续对用户的财产造成损害,危害极大。安全建议
针对Fushicho系列病毒,集成AVL反病毒引擎的MIUI安全中心已经实现全面查杀。安天AVL移动安全团队和MIUI安全中心提醒您:l 请不要轻易root手机,否则您的手机将遭受巨大的安全风险;
l 请勿在非官方网站或者不知名应用市场下载任何应用;
推荐阅读
最新回复 (0)
站点信息
- 文章2281
- 用户1336
- 访客9540592
每日一句
Never judge a book by its cover.
不要以貌取人。
不要以貌取人。
