近期,AVL移动安全团队截获一款会篡改手机启动脚本的流氓插件,该插件一旦被加载运行,首先尝试请求超级用户权限,进而恶意篡改手机启动脚本,释 放特定重打包应用(应用商店类)到系统应用目录。此外,已释放的重打包应用还会静默上传设备中的系统应用信息到远程服务器,侵犯用户隐私。
一、行为及危害
- 该插件依靠应用主体运行,被加载启动后会尝试请求超级用户权限
- 篡改手机启动脚本,释放特定重打包的应用商店类应用到系统应用目录下
- 后台上传设备Rom自带的应用相关信息到远程服务器
二、插件结构
该插件安装后无图标,并伪装成“skype”在后台加载运行。如图1所示: 图1 插件运行情况
插件的包结构相对简单,assets目录下包含很多ELF可执行文件和经过加密的资源文件。如图2所示:
图2 插件包结构
三、详细分析
1、插件被加载运行后,尝试申请超级用户权限
该插件常见为依赖主体应用直接进入用户设备中,也出现过通过某应用弹出的插件下载提示,由用户自行下载该插件。插件一旦进入用户设备中,将依靠主体应用加载运行,首先会申请超级用户权限。
2、篡改脚本并释放应用到系统应用目录
当插件获取超级用户权限后,后台服务QService启动,并在/data/data/com.q.t/目录下生成.f的隐藏目录,将资源文件 a,b,c,da,db,dc,dd,de读取后存放在该隐藏目录下,并解密文件43bin和ntf,在.f隐藏目录下生成insqn的脚本。
创建脚本:
生成的脚本如下图所示:
脚本被执行后,将隐藏目录当中的文件替换系统的配置文件,包括apn,install-recovery.sh。
除此之外,程序运行时,还会后台监控脚本是否执行成功,并将相关的状态信息上传到远程服务器。一旦执行成功,便立即删除插件程序以及插件程序对应的数据目录文件。
资源文件释放位置对应关系表:
替换系统启动脚本后,手机会在启动后传入“—auto-daemon”参数以守护进程形式运行update模块,载入正常的启动脚本。而后在系统目录中安装一款名为“应用商店”的应用。
经过分析发现,“应用商店”重打包了名为“柠檬助手”的市场类应用,如下图所示,与官方版本相比,重打包后的应用在原官方应用基础上增加了com.ally和com.fun这样的包结构。
在程序清单文件当中也发现重打包应用当中增加了相应的Receiver和Service。
3、后台上传用户手机Rom相关信息到远程服务器
在重打包应用增加的com.ally包结构当中,其通过调用native层方法来获取用户设备和Rom内置应用相关信息。
通过该方法获取的用户信息包含以下两类:
1)设备相关信息
包含用户手机IMEI,IMSI,手机品牌,型号,SDK版本,当前应用程序包名,wifi mac地址,网络联网状态。
2)用户安装的应用信息
主要是用户安装的应用信息、Rom自带的应用信息,含/system/framwork以及/system/app目录下的应用。
获取用户应用信息后,通过回调接口将获取的用户隐私信息上传到远程服务器。
通过分析,发现如下远程服务器:
- xxpl.mehadoop.com
- 103.17.42.195
- flashapi.5dong.com.cn
通过对域名反查发现,这些域名都是通过阿里云注册的,部分域名是由国内做rom推广的厂商所拥有,而部分已失效。
四、总结
此类插件的特点是,加载运行后请求获取超级用户权限,一旦获取便篡改手机启动脚本,并将特定的应用以及运行时依赖的库文件重定向到系统应用和系统库 目录来达到防止卸载、后台收集用户手机应用相关信息的目的。AVL移动安全团队提示您,请不要随意root手机,超级用户权限一旦被恶意程序获取,极易给 您带来难以意料的后果。如果您的手机已经root,那么当安全性未知的应用请求超级用户权限时,请您谨慎处理,以免受到手机病毒或者流氓软件的危害。
【via@AVL移动安全团队】
- 上一篇:记一次曲折的渗透测试
- 下一篇:PHP自动化白盒审计技术与实现
猜你还喜欢
- 07-08八年专业安全团队承接渗透入侵维护服务
- 08-06SQLMAP的注入命令以及使用方法
- 08-03白帽故事汇:网络安全战士从来不是「男生」的专利
- 07-27编辑器漏洞手册
- 07-12web安全之如何全面发现系统后台
- 02-22常见Web源码泄露总结
- 07-25网站后台登陆万能密码
- 07-23破解emlog收费模板“Begin”
- 01-12批量检测SQL注入
- 01-22Apache Solr远程代码执行漏洞(CVE-2017-12629)从利用到入侵检测
- 随机文章
-
- python cms审计记录
- Windows 权限提升
- 图解利用虚函数过GS保护
- Enumy:一款功能强大的Linux后渗透提权枚举工具
- 《Web前端黑客技术揭秘》.pdf下载 带书签版
- 白帽子讲Web安全.pdf
- SQL注入攻击与防御(第2版).pdf
- Metasploit渗透测试指南.pdf 带书签版
- Metasploit渗透测试魔鬼训练营.pdf-完整版
- 树莓派渗透测试实战.pdf 带书签版
- PHP Web安全开发实战.pdf 带书签版
- [译] 渗透测试实战第三版(红队版).pdf 带书签板
- 常见的社会工程学攻击方式
- 社会工程学攻击的三个典例
- 社会工程学:关于一些信息收集的网站
- PHP开发安全问题总结
- 某租车系统Java代码审计之后台注入漏洞分析
- 14多万条学生的个人信息被泄露
- BurpCrypto: 万能网站密码爆破测试工具
- sqlmap绕过CSRF检测进行注入
- 热门文章
-
- 八年专业安全团队承接渗透入侵维护服务
- Emlog黑客站模板“Milw0rm”发布
- Stuxnet纪录片-零日 Zero.Days (2016)【中文字幕】
- SQLMAP的注入命令以及使用方法
- 白帽故事汇:网络安全战士从来不是「男生」的专利
- 编辑器漏洞手册
- web安全之如何全面发现系统后台
- 常见Web源码泄露总结
- 渗透测试培训(第五期)
- 深入理解JAVA反序列化漏洞
- cmseasy前台无需登录直接获取敏感数据的SQL注入(有POC证明)
- 网站后台登陆万能密码
- 黑麒麟2016渗透培训系列教程
- 破解emlog收费模板“Begin”
- 那些强悍的PHP一句话后门
- Android平台渗透测试套件zANTI v2.5发布(含详细说明)
- 渗透工具BackTrack与KaliLinux全套视频教程
- Python列为黑客应该学的四种编程语言之一 初学者该怎么学
- CVE-2017-11882漏洞复现和利用
- 恶意程序报告在线查询工具
文章存档
- 2021年3月(4)
- 2020年12月(4)
- 2020年11月(5)
- 2020年10月(8)
- 2020年9月(8)
- 2020年8月(20)
- 2020年7月(47)
- 2020年6月(70)
- 2020年5月(41)
- 2020年4月(21)
- 2020年3月(120)
- 2020年2月(26)
- 2019年12月(12)
- 2019年11月(13)
- 2019年10月(17)
- 2019年9月(15)
- 2019年8月(13)
- 2019年7月(15)
- 2019年6月(15)
- 2019年5月(19)
- 2019年4月(23)
- 2019年3月(19)
- 2019年2月(11)
- 2019年1月(29)
- 2018年12月(24)
- 2018年11月(56)
- 2018年10月(79)
- 2018年9月(20)
- 2018年8月(17)
- 2018年7月(16)
- 2018年6月(7)
- 2018年5月(10)
- 2018年3月(6)
- 2018年2月(2)
- 2018年1月(11)
- 2017年11月(18)
- 2017年10月(6)
- 2017年9月(8)
- 2017年8月(7)
- 2017年7月(7)
- 2017年6月(15)
- 2017年5月(30)
- 2017年4月(7)
- 2017年3月(1)
- 2017年2月(4)
- 2017年1月(1)
- 2016年12月(3)
- 2016年11月(7)
- 2016年10月(6)
- 2016年9月(6)
- 2016年8月(102)
- 2016年7月(24)
- 2013年7月(1)
- 文章标签
-