IT技術互動交流平臺

安卓變僵尸:新型病毒“維京部落”分析

作者:Check Point ,FB小編Sphinx編譯  發布日期:2016-05-13 20:50:33

 Check Point研究團隊在Google Play Store發現了一款新的Android病毒,并取名為Viking Horde(維京部落)。這款病毒能夠執行廣告欺詐,還能進行DDoS攻擊、發送垃圾信息等。至少已經有5款應用通過了Google Play的病毒掃描。

無論是在已root或是未root的設備上,Viking Horde都會創建一個僵尸網絡,用經過代理的IP地址偽裝廣告點擊,這樣攻擊者就能賺錢。僵尸網絡是一組由黑客控制的設備,設備的用戶毫不知情。根據設備的計算能力不同,“僵尸”能做各種各樣的事。僵尸網絡越大,能夠做的事越多。

在已root的設備上,Viking Horde能夠傳輸額外的惡意payload,從而遠程執行任意代碼,它還會利用root權限使得自身難以刪除。

Horde介紹

Viking Horde系列病毒中下載量最大的就是Viking Jump應用,自4月15日上傳到GooglePlay,該應用已經有50,000-100,000的下載量了。有些地方的市場中,Viking Jump還登上了Google Play免費應用排行榜。

提交最早的應用是Wi-Fi Plus,于3月29日提交。其他的應用包括Memory Booster, Parrot Copter, 和Simple 2048。所有感染Viking Horde的應用的評分都很低,研究團隊猜測可能是因為用戶注意到了它奇怪的行為,例如請求root權限。

攻擊者們創建的僵尸網絡散布在全世界各個國家,Check Point研究團隊通過一個C&C服務器收集的數據獲得了其受害者的分布情況。

來源:Check Point移動威脅研究團隊,2016年5月6日

Viking Horde工作原理

研究Viking Horde代碼和C&C服務器后,研究人員畫出了流程圖。

1.病毒首先從Google Play上下載。當應用啟動游戲時,它會在應用的目錄外面安裝幾個組件。這幾個組件的名字都被偽裝成系統相關的名字,如core.bin,clib.so, android.bin 和 update.bin。如果設備沒有root,組件就會被安裝到SD卡上,如果已經root了,就會安裝到root/data。這些文件中的一個是用來在各組件交換信息的。另一個包含所有生成的組件名稱,方便其他組件訪問它們。

2.接下來病毒會檢查設備是否已經root:

如果是,病毒就會啟動另外兩個組件:

app_exec.實現與服務器的通訊協議

app_exec_watch_dog實現更新和系統駐足。Watchdog 會監控app_exec 進程,如果有必要會重啟。

如果設備沒有被root,惡意軟件就會以共享庫加載app_exec文件,并且通過JNI(Java Native Interface,能夠允許Java代碼運行本地二進制文件)來調用它的函數。

無論哪種情況下,一旦app_exec應用被安裝,它就會與C&C服務器建立TCP連接并且開始通信。通信內容包含下列指令。

Ping。每10秒應用程序就會給服務器發送5個字節。同樣,服務器會回復5個字節。

更新設備信息:將剩余電量、連接類型和手機號碼發送給服務器。

3. 下一步就是通過匿名代理連接執行惡意功能。C&C服務器會發送一個“create_proxy”命令,其中會有兩個IP地址和端口作為參數。這兩個IP地址就會被用來打開兩個sockets連接,一個給遠程服務器,一個給遠程目標。然后它會讀取第一個socket收到的數據,向目標主機傳輸。病毒的開發者可以借此隱藏他的IP地址。

僵尸網絡活動

即便設備沒有被root,Viking Horde還是會把它變成能夠發送接收信息的代理。以下就是一個從攻擊者的C&C服務器上看到的感染的設備。

遠程端是代理的IP,而socks IP是C&C服務器的IP。C&C服務器包含設備的一些信息,包括操作系統版本、電池狀態和GPS坐標。在本例中,設備位于美國,運營商是T-Mobile。

Viking C&C服務器

僵尸網絡由很多臺C&C服務器控制,每臺都管理者幾百臺的設備。惡意軟件的首要目標是劫持設備,然后用它模擬點擊網站上的廣告來賺錢。惡意軟件需要代理來繞過廣告商的反欺詐機制。

有些用戶評論還說這款應用會發送收費短信,如截圖所示。 這個僵尸網絡能用以各種用途,包括DDoS攻擊、發送垃圾郵件和發送病毒。

病毒的持續性

病毒使用多種方法駐足在系統中。首先,Viking Horde安裝的那些組件使用了跟系統有關的名字,使得它們很難定位刪除。

如果設備經過root,有兩項機制又可以用來防止刪除:

 

app_exec組件會監控主程序是否存在。如果用戶卸載了主程序,app_exec會解密一個名為com.android.security的組件并且靜默安裝。這個組件是隱藏的,重啟之后執行。

watchdog組件會安裝app_exec組件的更新。如果app_exec被刪除,watchdog會從更新目錄重新安裝它。

顯然,有些用戶還注意到了這樣的活動:

針對root設備的額外組件

可能最危險的功能就是更新機制:app_exec從服務器下載最新的二進制文件,然后以app_exec_update的名字儲存在/data目錄。

Watchdog會周期性地檢查更新文件是否存在,并且用它替換app_exec。這就意味著VikingHorde可以根據服務器的命令下載新的二進制文件。watchdog組件會用它替換掉應用。這樣的話這臺設備上就可以下載執行任何遠程代碼。

附錄 1: app 包名

com.Jump.vikingJump
com.esoft.wifiplus
com.fa.simple2048
com.android.wifiman
Com.g.o.speed.memboost
Com.f.a.android.flyingcopters

附錄2: C&C 服務器列表

   www[.]adautoexchange[.]com
   www[.]adexchng[.]com
   www[.]adexchnge[.]com
   www[.]adexchangetech[.]com

附錄3: 感染的可執行文件的SHA256

85e6d5b3569e5b22a16245215a2f31df1ea3a1eb4d53b4c286a6ad2a46517b0c
254c1f16c8aa4c4c033e925b629d9a74ccb76ebf76204df7807b84a593f38dc0
ebfef80c85264250b0e413f04d2fbf9e66f0e6fd6b955e281dba70d536139619
10d9fdbe9ae31a290575263db76a56a601301f2c2089ac9d2581c9289a24998a
a13abb024863dc770f7e3e5710435899d221400a1b405a8dd9fd12f62c4971de
1dd08afbf8a9e5f101f7ea4550602c40d1050517abfff11aaeb9a90e1b2caea1
e284a7329066e171c88c98be9118b2dce4e121b98aa418ae6232eaf5fd3ad521

 

Tag標簽: 維京   僵尸   病毒  
  • 專題推薦

About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯系方式
本站內容來自于互聯網,僅供用于網絡技術學習,學習中請遵循相關法律法規
彩票联盟网站 万盛区| 凤山市|