为何手机总是无故悄悄扣费为什么手机会无缘无故的扣费( 二 ) _知识分享

· ROOT 提权
恶意文件 artificial.jar 运行后，会向云端请求 ROOT 提权方案。ROOT 提权模块则主要包含 yaiekvzmsqyulmrx.jar、 .dmpsys（开源 Superuser 的 SU 模块）等文件，用以完成如下任务：
1）获取手机 ROOT 权限；
2）向云端请求下载任务，获取应用推广配置文件/data/.notify/cfg；
3）执行恶意推广：恶意推广的应用分 ROM 内应用（安装到/system/app、/system/priv-app、/system/framework 等目录，使用”cat > “命令进行安装），以及普通应用（安装到/data/data 目录，使用 pm install 命令进行安装）两类。
ROOT 提权模块主要使用了 CVE-2016-5195（脏牛漏洞）、开源提权方案、针对特定品牌手机的提权漏洞进行提权。
· 应用保活与注入
在获取到手机 ROOT 权限后，病毒应用会加载注入模块 sysutils.so，其使用动态感染技术，随系统库文件一同加载，以”掩人耳目”；此外，”伏地魔”病毒还多次使用 ELF 文件内部释放逻辑，以进一步增强隐蔽性。注入模块主要完成以下任务：
1）释放应用保活模块 .notify：该模块会读取/data/.notify/cfg 配置文件，而后使用 cat 命令安装恶意应用至手机 ROM，并启动该恶意应用；
2）执行系统命令：修改.notify，.dmpsys 文件权限为 0755，并执行；
3）注入恶意扣费模块进行扣费：利用开源框架 ELFHooker 将 android_servers.so 注入到手机 Phone 进程，为恶意扣费做准备。

文章插图
· 恶意扣费
恶意扣费模块 android_servers.so 会释放恶意文件 runtime.jar，并加载其 o.r.g.Apt.run()方法，以实现：1）后台监控收发读写短信；2）私自订购业务并扣费等恶意行为。
如下是恶意扣费模块的演变进程，可以看出该模块具有较多变种，并且更新频繁，经过多次升级后，其功能逐步趋于完善，隐蔽性也在进一步增强。

文章插图
其执行恶意监控、收发读写短信的代码片段如下：

文章插图
安全建议：
病毒作者在获取到手机 ROOT 权限后，就拥有了手机控制权，可以”为所欲为”，就像一颗”定时炸弹”，移动互联网的今天，手机已成为人类”新的器官”，其承载了我们太多的个人信息，为保障个人隐私和财产安全，360 安全大脑建议：
1. 寻找”360 手机卫士”神助攻：360 安全大脑始终保持对 Android Native 病毒动态的密切关注，并已支持上述病毒的全面一键查杀，担心手机安危的小伙伴们，可以及时通过 360 手机卫士官网及各大软件市场安装/更新 360 手机卫士，对爱机进行一次全面”体检”；
2. 使用厂商官方 ROM：第三方 ROM 刷机包也是 Android Native 病毒传播渠道之一，市面上的 ROM 包”鱼龙混杂”，切记不要随意下载刷入安全性未知的第三方 ROM；
3. 通过正规手机应用市场下载安装 APP：五花八门的应用下载网站是 Android Native 病毒的藏身乐园，普通用户难辨网站真伪，通过正规手机应用市场下载安装 APP 可有效规避中招风险；
4. 及时更新系统及补丁：及时升级系统、安装系统更新补丁可有效降低漏洞利用风险。
相关 C&C 服务器信息：

文章插图
相关 APK 列表：
【为何手机总是无故悄悄扣费为什么手机会无缘无故的扣费】

文章插图

为何手机总是无故悄悄扣费 为什么手机会无缘无故的扣费( 二 )

为何手机总是无故悄悄扣费为什么手机会无缘无故的扣费( 二 )