潜伏的BadMedia木马家族,用户需谨慎下载破解应用
前言:
近期,腾讯反诈骗实验室和移动安全实验室发现一款伪装成系统应用的恶意木马家族正在持续攻击用户,经过分析研究发现这款被命名为“BadMedia ”的木马家族能够长期保持高活跃主要有几个因素:利用游戏破解等刚需诱导用户安装,利用 CVE-2015-1805等内核漏洞强行ROOT用户设备,并将自身植入到系统目录阻止用户卸载,长期潜伏用户设备进行恶意推广行为。
腾讯反诈骗实验室和移动安全实验室提醒广大用户,大量的所谓破解应用都存在或多或少的恶意行为,为了保护你的手机安全建议仅从正规渠道下载应用,如果不慎中招,推荐可以下载腾讯手机管家一键查杀。
一、病毒影响面
4月至6月的感染用户变化趋势,平均日影响上万用户。
二、病毒详细分析
1、传播途径,母包为破解游戏类应用,应用安装下载安装media病毒。
应用基本信息
软件名 | 媒体 |
---|---|
包名 | Com.system.m**** |
证书 | 319d72acf5d*******8f2f5a0dea27 |
通过腾讯反诈骗实验室和移动安全实验室的AI智能聚类功能,我们发现BadMedia木马家族的开发和版本发布有着极强的组织性,从时间轴上看,其在17年4月开始,每半月至1个月时间其更新一次版本,截至目前更新已更新8个版本,期间变更过两次软件名,通常将自己伪装成Android系统应用以骗过用户.
图 “BadMedia”版本迭代时间轴
2、BadMedia病毒主要特点:
1)伪装成Android系统文件com.android.media,常驻系统;
2)各功能高度模块化,且功能模块由云端控制下发更新;
3)与其他应用配合,能更新自身,并保证应用进程长期处于活跃状态;
主要运行流程:
各模块主要功能分析:
2.1 BadMedia核心模块
1)BadMedia应用从云端获取更新文件,并动态更新
动态加载dex代码,更新lib文件和assets文件
云端服务器相关URL:
https://www.***jia8.com/api/rts/
https://www.ci*****.com/api/rts/
抓包获取的json配置信息:
2)调用native方法开启守护进程,防止应用进程被kill
Native监控应用进程状态,若进程被杀死则重启应用服务:
2.2 g.apk尝试进行root提权
root利用方案
2.3 u.apk
1)提权,并更改系统设置,包括设置系统调试状态、允许安装非应用市场应用、不对安装包进行验证等;
调用提权子包,获取root shell
2)下载live应用,并以启动服务的方式调起它
3)将下载的show.apk,media病毒的最新版本植入到Rom内,即/system/priv-app目录下
2.4 v.apk
推广应用
调用子包进行静默安装
安装快捷图标
2.5 Android Live应用主要用来配合Badmedia应用,使用am startservice启动media应用
调起媒体应用
动态抓取的命令执行:
3、相关溯源:
根据恶意木马主要访问的两个URL:www.***jia8.com、www.ci****.com,我们进行了相关溯源分析,发现了一家专门做应用破解和汉化的公司可能就是木马的幕后黑手。
转载来自 FreeBuf.COM