AppPortal《恶意行为云端无限扩展》.docxVIP

百度安全实验室最近发现了一款“应用传送门”病毒，该病毒架构设计简单灵活，完全实现了恶意代码的云端控制、插件化和动态可扩展。该病毒伪装成系统服务，且没有桌面图标，不易发现。该病毒能够从服务端获取恶意插件列表信息。依次下载恶意插件并调用恶意插件代码，从目前监测到的恶意插件来看，下载的插件存在以下恶意行为：1、? 静默下载安装其它恶意程序。2、? 静默下载安装其它推广应用。由于恶意插件下载列表由云端控制，一旦用户感染该病毒，有可能会在不知不觉的情况下被安装其它恶意软件及推广软件，消耗用户大量的数据流量。无限可能，后果不可估量，严重威胁到用户的隐私及账户安全。安装该病毒约24小时后，经测试，会下载大量推广软件，如下图所示：?接下来我们对该病毒进行详细的分析：?1、恶意代码结构如下：2.、注册监听大量系统广播，以便触发恶意代码?3、在对整个恶意代码进行分析后，我们得出了以下恶意代码的运行逻辑图首先当设备开机、解锁等情况发生时，恶意软件将请求服务器获取恶意插件信息，并把恶意插件信息存储到本地数据库中，恶意软件会定时读取数据库插件信息，下载指定恶意插件并运行恶意插件代码。下图为抓取到数据库文件，内容如下：?恶意软件将会从相应的URL下载JAR文件，然后通过DexClassLoader动态调用相应的恶意插件。接下来我们分别对云端返回的两个恶意插件进行分析。???? （1）??????恶意插件一MD5=DD46DB69096B55D120AAFC920220A1DD?恶意代码结构：???????? 恶意行为：该恶意插件会请求Root权限，静默下载另一款恶意软件AndroidFileSystem.apk（下载地址：:9394/marketing/ad/installer/AndroidFileSystem.apk），并把该恶意软件安装为系统应用。我们会在后面对AndroidFileSystem.apk进行详细分析。?（2）??????恶意插件二MD5：779AC36160AB1285CF136321FB62D37B:?恶意代码结构：????????? 恶意行为：该恶意插件从服务端获取推广应用列表，并静默下载安装推广应用。给用户带来高额的移动数据流浪费。推广应用指令服务器地址：/pushok/info_rootsetup.php）。?恶意代码片段：?????????????????? 获取推广应用列表?静默安装推广应用安装成功后，启动推广应用???????? ?接下来我们对恶意插件一安装的AndroidFileSystem.apk进行详细的分析：AndroidFileSystem.apk恶意代码结构：AndroidMainfest.xml注册的恶意组件：该恶意软件也完全实现了恶意插件模块化和可定制化。?恶意行为：AndroidFileSystem本身并不包含具体恶意行为代码，AndroidFileSystem启动后，首先请求云端获取具体插件代码信息。云端返回信息包含插件下载地址及插件代码调用方式。插件保存文件名为launcher.apk。根据指令返回的插件信息调用插件代码：我们根据云端返回信息，获取到了AndroidFileSystem下载的launcher.apk插件。launcher.apk代码结构如下：Launcher插件具体是干什么的呢，我们对该插件分析后发现，该插件其实也并不包含具体的恶意行为代码，launcher也需要通过访问云端获取具体的恶意行为代码插件。Launcher会从云端获取具体恶意插件信息，下载指定的恶意行为插件（恶意插件服务器地址：/plugin/entries.php），并通过DexClassLoader动态调用插件代码。???????? 根据launcher服务器返回具体恶意行为插件信息，我们获取到如下恶意插件p_4.apk：????? p_4.apk代码结构如下：该具体恶意行为插件会模拟adwo广告平台协议，自动化模拟点击广告平台广告，骗取广告平台软件推广费，同时该行为会给用户带来高额的移动数据流量费。具体恶意代码如下：? 同时恶意开发者也对其它的广告平台进行了协议模拟。?通过以上分析可以看着，恶意软件作者通过插件化的设计，可以使恶意软件的功能通过云端控制得到不断的扩充。这样的设计也有利于躲避安全软件的检测。该恶意软件涉及到的指令服务器包括：? ???86[美国]?????75[广东省东莞市 电信]? ?91[日本]51? 38 [河北省廊坊市 电信