为何手机总是无故悄悄扣费 为什么手机会无缘无故的扣费( 二 )


· ROOT 提权
恶意文件 artificial.jar 运行后,会向云端请求 ROOT 提权方案 。ROOT 提权模块则主要包含 yaiekvzmsqyulmrx.jar、 .dmpsys(开源 Superuser 的 SU 模块)等文件,用以完成如下任务:
1) 获取手机 ROOT 权限;
2) 向云端请求下载任务,获取应用推广配置文件/data/.notify/cfg;
3) 执行恶意推广:恶意推广的应用分 ROM 内应用(安装到/system/app、/system/priv-app、/system/framework 等目录,使用”cat > “命令进行安装),以及普通应用(安装到/data/data 目录,使用 pm install 命令进行安装)两类 。
ROOT 提权模块主要使用了 CVE-2016-5195(脏牛漏洞)、开源提权方案、针对特定品牌手机的提权漏洞进行提权 。
· 应用保活与注入
在获取到手机 ROOT 权限后,病毒应用会加载注入模块 sysutils.so,其使用动态感染技术,随系统库文件一同加载,以”掩人耳目”;此外,”伏地魔”病毒还多次使用 ELF 文件内部释放逻辑,以进一步增强隐蔽性 。注入模块主要完成以下任务:
1) 释放应用保活模块 .notify:该模块会读取/data/.notify/cfg 配置文件,而后使用 cat 命令安装恶意应用至手机 ROM,并启动该恶意应用;
2) 执行系统命令:修改.notify,.dmpsys 文件权限为 0755,并执行;
3) 注入恶意扣费模块进行扣费:利用开源框架 ELFHooker 将 android_servers.so 注入到手机 Phone 进程,为恶意扣费做准备 。

为何手机总是无故悄悄扣费 为什么手机会无缘无故的扣费

文章插图
· 恶意扣费
恶意扣费模块 android_servers.so 会释放恶意文件 runtime.jar,并加载其 o.r.g.Apt.run()方法,以实现:1)后台监控收发读写短信;2)私自订购业务并扣费等恶意行为 。
如下是恶意扣费模块的演变进程,可以看出该模块具有较多变种,并且更新频繁,经过多次升级后,其功能逐步趋于完善,隐蔽性也在进一步增强 。
为何手机总是无故悄悄扣费 为什么手机会无缘无故的扣费

文章插图
其执行恶意监控、收发读写短信的代码片段如下:
为何手机总是无故悄悄扣费 为什么手机会无缘无故的扣费

文章插图
安全建议:
病毒作者在获取到手机 ROOT 权限后,就拥有了手机控制权,可以”为所欲为”,就像一颗”定时炸弹”,移动互联网的今天,手机已成为人类”新的器官”,其承载了我们太多的个人信息,为保障个人隐私和财产安全,360 安全大脑建议:
1. 寻找”360 手机卫士”神助攻:360 安全大脑始终保持对 Android Native 病毒动态的密切关注,并已支持上述病毒的全面一键查杀,担心手机安危的小伙伴们,可以及时通过 360 手机卫士官网及各大软件市场安装/更新 360 手机卫士,对爱机进行一次全面”体检”;
2. 使用厂商官方 ROM:第三方 ROM 刷机包也是 Android Native 病毒传播渠道之一,市面上的 ROM 包”鱼龙混杂”,切记不要随意下载刷入安全性未知的第三方 ROM;
3. 通过正规手机应用市场下载安装 APP:五花八门的应用下载网站是 Android Native 病毒的藏身乐园,普通用户难辨网站真伪,通过正规手机应用市场下载安装 APP 可有效规避中招风险;
4. 及时更新系统及补丁:及时升级系统、安装系统更新补丁可有效降低漏洞利用风险 。
相关 C&C 服务器信息:
为何手机总是无故悄悄扣费 为什么手机会无缘无故的扣费

文章插图
相关 APK 列表:
【为何手机总是无故悄悄扣费 为什么手机会无缘无故的扣费】
为何手机总是无故悄悄扣费 为什么手机会无缘无故的扣费

文章插图