“饿狼”背后的秘密:一个恶意木马的深度剖析
传播及影响范围:
哈勃分析系统已经捕获该病毒的40多种变种,变种使用较多的包名汇总如下:
1. 恶意行为概述:
该病毒安装无图标,监听系统各类广播实现自启动;
启动后解密、加载恶意资源文件,发送、拦截、上传扣费短信;
下载root工具及权限管理工具,安装恶意安装包到/system/app目录;
获取远程指令,静默安装其推广应用。
(流程图)
2. 详细分析:
2.1 该病毒启动后会私自发送短信,并监控用户短信情况,根据指令拦截、转发或上传用户短信:
2.2 病毒将ELF文件伪装成PNG文件来躲避识别,启动后将PNG文件tools.png拷贝到Cache目录,并重命名为sdktools,之后会加载该ELF文件,调用其注册的方法:
sdktools注册的native方法,这些native方法被用来加载、调用恶意插件myplug.jar:
2.3 病毒会强制打开手机网络,下载恶意插件myplug.jar,并通过sdktools注册的native方法来加载。myplug.jar被加载后,会下载root工具进行root操作,一旦成功获取root权限,就会根据指令下载、静默安装推广应用:
1)通过natvie方法加载、调用mylpug恶意插件:
2)恶意插件myplug.jar会下载root工具并进行root操作:
3)成功获取root权限后,该插件会静默下载、安装推广应用到/system/app目录:
2.4 该病毒还会解密、加载恶意插件xbox.so,该插件由DES对称算法加密,解密后为DEX文件,病毒通过对恶意插件进行加密来躲避静态工具的分析:
解密xbox.so后,通过静态工具分析,可以看到该子包会拦截指定内容短信,并根据指令完成恶意操作:
2.5 该病毒的另一资源文件base_3.4.0_en.jar同样被加密,解密后为DEX文件。该DEX文件被加载后,会被不断轮询执行pay方法,进行扣费相关操作,同时还会拦截相关短信;base_3.4.0_en.jar还会启动母包的服务PLService,该服务启动后会下载恶意包bom:
1)解密base_3.4.0_en.jar为DEX文件,并被加载:
2)该子包被加载后,会被不断轮询执行pay方法,进行扣费相关操作,同时还会拦截相关短信:
3)解密下载地址为:http://js.xxxxxx.com/myapk/xxooaa/bom,下载bom恶意包:
4)bom被加密处理过,解密后为压缩包,可解压缩为boDat和bobolib:
2.6 子文件boDat同样被加密处理过,解密后为DEX文件,该DEX文件被加载后会下载root工具进行root操作,同时,boDat还会解密bobolib文件,bobolib解密后为压缩包,包含权限管理工具及恶意应用:
1)boDat下载的root工具:
2)解密后的bobolib是包含权限管理工具和恶意应用的压缩包:
3)boDat安装权限管理工具及恶意应用:
4)boDat安装的三个恶意应用会根据指令下载、安装推广应用到/system/app目录:
3. 总结:
因为“饿狼”病毒不仅会私自发送扣费短信,还拦截、上传用户短信,而且使用复杂的加密算法对字符串、资源文件、网络下载资源进行加解密,同时,将恶意子包加密、伪装成图片格式,大大增加了分析及识别的难度。所以,使用有效的防护手段及时发现及清除该恶意木马才能避免更严重的后果。
官方 