欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Android Native病毒——2018年度研究报告

来源:本站整理 作者:佚名 时间:2019-01-10 TAG: 我要投稿

“响尾蝶”病毒特点之一为其对系统、用户数据的破坏性。病毒开发者为获得最大收益,不择手段清理掉一些系统应用和用户数据,为“响尾蝶”的恶意推广扫除障碍。

X破坏者
系统文件破坏程度:★★★★
用户数据破坏程度:★★★★
“破坏性最强”的Android Native病毒家族少不了“X破坏者”——听名字就晓得是个惹不起的家伙。“X破坏者”病毒会发送扣费短信订制包月业务,并且疯狂下载安装应用,造成用户资费消耗。
此外,“X破坏者”最大的特点就是其疯狂的破坏行为:遍历系统目录/system/bin和/system/xbin,删除各种Root工具底层模块,还禁用安全软件,导致手机应用异常崩溃;甚至在获取到Root权限后卸载各种安全软件,以至于其他Root工具很难再得到权限,彻底清除病毒变得十分麻烦。几乎所有主流手机安全软件都会受到影响。

“影响面最广”的ROOT类Android Native病毒
Root提权已逐渐成为Android Native病毒的标配,病毒如果拿不到权限,再厉害的攻击技术也只能望洋兴叹,然而很多手机都是未开放root权限的,因此很多病毒选择通过利用漏洞获取手机root权限或是借助第三方工具完成root。下面我们就来揭晓下2018年度 “影响面最广”的两种ROOT类Android Native病毒。
FakeADB
影响版本数量:★★★★
ROOT成功率:★★★★
你以为只有宫斗剧才那般扣人心弦,但病毒的世界同样五彩斑斓,这不,FakeADB的病毒作者,就给大家上演了一出狸猫换太子的好戏。该作者通过借鉴XXRoot利用脏牛漏洞进行提权的root方案,将回调包名替换为“自身恶意APK包名”,摇身一变,获得了root权限。由于受脏牛(DirtyCow)漏洞影响的Android系统版本较多,加之正常的ELF文件和含有恶意文件的ELF只有这一处区别,特征不够明显,传统安全软件很难实现对该病毒的查杀,因而受感染用户数较多。
下图便是该病毒的执行流程。

Rootnik病毒
影响版本数量:★★★★
ROOT成功率:★★★
上面那位可谓演技卓群,然而,咱网红病毒也不是吃干饭的。曾经因“我决不将病毒感染给中国用户”而一夜走红的Rootnik病毒又有新动作了,近期,360核心安全研究人员发现,有不少国内Android用户也感染了该病毒,好吧,其实我是个演员。该类病毒多依靠色情类应用进行传播,相关应用都有着诱人的图标和名字,用户一旦下载安装,病毒APK就会向系统中释放大量恶意文件,进行广告等恶意推广;同时,该类应用多以色情封面诱惑用户支付费用进行视频观看,但大多没有实际内容。等用户发现被骗为时已晚,病毒早已深入系统底层。
值得注意的是,该病毒同时使用了android-rooting-tools开源root工具,以及ROOT大师等第三方root工具的提权方案进行提权,其主要使用的4个系统漏洞如下:
         漏洞编号
漏洞描述
受影响版本
危害程度
CVE-2013-6282
libput_user_exploit
Android4.3及以下
★★★
CVE-2014-3153
TowelRoot
Android4.4及以下
★★★★★
CVE-2015-1805
I/O矢量阵列溢出漏洞
Android4.4及以下
★★★★
CVE-2015-3636
pingpong root
Android5.1及以下
★★★★★
“抢占先机”的64位Android Native病毒
你以为这就完了?那还真是低估病毒作者了。为了躲避杀毒软件以及抢占市场先机,病毒作者们也是使出了浑身解数,64位Android Native病毒也在此时“华丽登场”了。下面就给大家介绍下2018年影响最大的两类64位Android Native病毒。
Dm家族
Dm家族为蜥蜴之尾病毒的64位变种。蜥蜴之尾包含launcher和核心作恶的ELF可执行模块两个部分。
本次受感染的为64位系统版本。木马首先感染系统进程启动时依赖的正常库文件,在库文件的导入表里添加launcher的路径,使守护进程随操作系统启动,并执行launcher的恶意代码。

Runas家族
Dm病毒已是很隐蔽了,Runas 64位病毒就更低调了,让我们来看看它都有哪些必杀技:
为/system系统目录下的隐藏文件,用户难以察觉
同时支持32位,64位Android系统
运行时修改sepolicy,绕过SEAndroid安全机制
替换系统debuggerd文件,设置守护进程
删除/system/app下的系统应用(包括安全软件),为其释放恶意文件腾空间
注入到系统Phone进程,进行其黑产行为
啧啧啧,简直是闷声发大财啊。
下图便是该病毒的执行流程。

 
0x03 Android Native病毒趋势
突破更高版本
病毒获得手机Root权限以后,基本就可以为所欲为,而最直接粗暴有效的攻击就是替换手机原生的系统文件,从而实现自启动、自我保护功能。如“长老木马”病毒会替换Android系统的守护进程debuggerd、“地狱火”病毒替换vold、“蜥蜴之尾”感染系统文件/system/lib/liblog.so。

上一页  [1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载