欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

安天移动安全关于“Dvmap”安卓恶意软件分析报告

来源:本站整理 作者:佚名 时间:2017-06-13 TAG: 我要投稿

一、分析背景
2017年6月8日下午,国际知名反病毒厂商卡巴斯基(Kaspersky)发布名为《Dvmap: the first Android malware with code injection》(《Dvmap:第一种具备代码注入能力的安卓恶意软件》)的分析报告。
由于该报告所涉及恶意样本为第一种对Android系统平台运行库进行恶意代码注入的恶意软件,且在报告中提及该恶意软件所包含的“.root_sh”脚本文件中存在中文注释,这引起安天移动安全分析团队高度重视,当即组织专业人员对该报告中所涉及恶意软件样本进行紧急分析。
二、分析内容
基于国际领先的恶意样本静态分析与动态养殖技术能力,以及强大的移动安全大数据能力,安天移动安全团队对卡巴斯基原报告的解读以及此次恶意软件时间的分析分成移动恶意样本分析与移动威胁情报分析两个方向同时进行。
2.1 移动恶意样本分析
2.1.1 恶意样本植入基本信息分析

2.1.2 恶意样本分析
恶意样本文件com.colourblock.flood.apk伪装为一个小游戏,运行界面如下图:

该apk本身并不显性表现恶意代码与行为,但会根据植入终端系统版本、cpu类型等信息解密其内嵌的恶意文件“Game*.res”。其代码如下:

这批内嵌恶意文件作用如下:

代码解密后会在/data/data/com.colourblock.flood/TestCache/路径释放恶意程序 ,其代码如下:

最终释放的文件如下图(32位与64位文件结构基本一致):


解密后分析恶意文件信息汇总如下:

中间文件汇总信息如下表:

com.qualcmm.timeservices.apk为最终被植入的远控恶意载荷apk,从命名上分析,该恶意载荷试图伪装为高通的时间服务程序,其主要作用为与远控服务器通信并执行远控任务。
通信服务器url通过拼接而成,访问url如下: http://d3pritf0m3bku5.cloudfront.net/android/event.php?id=%s&xc=%s&rtsid=%s&v=2&type=2&tm=%d TimeServices与服务器通信会执行远控任务、下载文件并执行,但服务器已失活无法获取到下载的文件。

与服务器通信后在/data/data/com.qualcmm.timeservices/shared_prefs/TaskList.xml生成任务列表。
2.1.2.1 提权文件部分分析
“.root.sh”脚本用于执行提权,并最终植入远控恶意子包载荷,其中文部分主要位于脚本开头的注释,并不直接提供恶意软件功能。

脚本最后完成安装后,进一步执行恶意远控子包com.qualcmm.timeservices ,代码如下图:

另外,还应注意到在恶意样本的多个bin文件里均出现“kinguser.apk”信息,可以推测该恶意样本使用了中国开发者所开发的kingroot工具的exp程序用于提权。信息示例如下图所示:

2.1.2.2 恶意载荷部分分析
入口程序start,获取设备信息,会根据不同系统版本选择植入恶意代码到系统/system/lib/libandroid_runtime.so的nativeForkAndSpecialize方法(Android>=5.0),或/system/lib/libdvm.so的_Z30dvmHeapSourceStartupBeforeForkv方法(Android>=4.4),均为与Dalvik和ART运行时环境相关的运行库。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载