科普 | 安天移動安全聯合獵豹揭秘無形之賊Dosoft免殺病毒

點擊上方

可訂閱

網路安全的核心本質是攻防對抗。當安全工作者使用手上的安全武器保衛網路安全時，惡意攻擊者也在想方設法予以對抗、夾縫求生。「免殺病毒」便是正邪對抗的產物。免殺是一種避免被殺毒軟體查殺的技術，利用這種技術，免殺病毒可以在殺毒軟體面前肆無忌憚地實施惡意行為而不被發現。

近期，安天移動安全團隊和獵豹安全實驗室捕獲了一例企圖繞過殺毒軟體實現免殺的病毒——Dosoft，該病毒通過捆綁在正常應用中潛入用戶手機，待應用運行后則啟動服務立即執行惡意代碼模塊，通過修改殺軟資料庫的手段躲避查殺，並利用系統漏洞root手機而獲取root許可權，從而在後台私自靜默推廣並安裝其他App，消耗用戶流量資費,可謂是「無形之賊」。

▲Dosoft病毒界面

▲靜默安裝其他App示例

一、惡意行為流程圖

二、惡意行為詳細分析

Step1：上傳設備信息，獲取惡意文件下載地址列表

該應用捆綁惡意代碼，運行后啟動服務去執行惡意代碼模塊，並上傳手機設備信息，獲取惡意文件下載地址列表。上傳的手機設備信息包含IMEI、IMSI、Android的版本、國家代碼（ISO標準形式）等多項信息。

上傳的目標URL: http://smzd.cntakeout.com:36800/configsc.action

通過網路抓包獲取加密通信數據：

對返回的數據進行解密，表面上看都是一些.png文件的下載地址列表。

但對這些下載地址通過字元串拼接形成完整鏈接后訪問發現，實際上.png文件並非圖片文件，而都是加密的ELF、zip和apk文件。

Step2：保存返回的數據，下載惡意子包

Dosoft病毒將Step1獲取的返回數據保存到pluginLib.xml文件中，目的是為了避免每次請求伺服器獲取配置信息而引起殺軟注意並影響攻擊效率。Dosoft病毒再次運行時將直接讀取該文件中的數據，解密后立即下載惡意文件。

解析保存的數據，進行解密后，然後下載ajsbv43_.png和eql_29.png惡意子包。

Step3：解密下載的惡意子包，動態載入

上一步驟下載獲得的子包的主要作用為完成其他惡意文件的解密、獲取root許可權、ELF文件的授權和注入以及執行殺毒軟體的對抗策略。調用Lib/libNDKlib.so的load函數解密eql_29.png子包，並且動態載入。

Step4：添加病毒信息至殺軟資料庫中，以防查殺

檢測是否安裝某殺毒軟體：

如果受害用戶手機中安裝了相關殺毒軟體，則把惡意的apk文件信息寫入殺軟的sh***d.db和v*_a*****rus.db資料庫中，其手段類似於添加自己的數據到殺軟白名單中，防止被殺毒軟體查殺。

Step5：獲取root許可權，並注入惡意文件到系統內

Dosoft病毒所使用的提權工具會根據手機的設備信息而下發特定的提權文件。在我們測試該病毒的場景下，發現Dosoft病毒使用了CVE-2016-3636漏洞提權。工具的來源地址：

其實在主包的目錄assets\rpluIn_25.png中也有一個漏洞利用的文件，利用MTK相機內核驅動缺陷導致的許可權提升，可見病毒作者準備了多個root方案。

完成root許可權的獲取后，惡意代碼利用文件注入手段，企圖修改系統配置。而在注入惡意文件到系統前，Dosoft病毒先檢測常用殺毒軟體是否運行，如運行則強制關閉殺軟。

上述操作完成後，Dosoft病毒進而將惡意文件qweus、.ts、注入至手機system/bin/目錄以及install-recovery.sh文件中。

其中qweus文件實際為su文件，只需調用qweus qweoy命令即可再次獲取root許可權。.ts文件與惡意子包行為一致，該文件被注入到了install-recovery.sh中，使得手機開機后可以自動啟動惡意程序並運行。

為防止系統注入文件被刪除，惡意開發者還將惡意文件備份至/data/local/tmp目錄，保證文件被刪除后能夠從該目錄下及時恢復，或直接從該目錄中執行這些文件。

此外，Dosoft病毒利用已獲取的root許可權，將Nuxikypurm.apk(包名：com.android.uhw.btf)惡意子包注入到System/app/目錄，防止被卸載。

Step6：下載推廣應用並靜默安裝

在上述操作后，Dosoft病毒利用一系列手段實現了自我保護。接下來，Dosoft便可以「高枕無憂」地執行惡意推廣以及靜默安裝推廣應用的行徑。

再次請求URL：smzd.cntakeout.com:36800/feedbacksc.action，返回推廣應用的下載地址。

解密后獲得明文URL，將文件進行分析后，下載文件的URL以及文件類型如下：

當其他的應用下載完成後，Dosoft利用已申請的root許可權，在用戶不知情的情況下，對後台下載的應用進行靜默安裝，以實現最終的惡意推廣目的，獲取非法利益。

三、總結

至此，Dosoft病毒利用一系列手段保護自己，實現了其惡意下載推廣應用的目的。為了逃避殺毒軟體的檢測，病毒開發者可謂是煞費苦心。其核心惡意邏輯都通過雲端動態載入配置文件進而完成。而雲端下發的惡意文件都經過多級加密處理，採用依賴性的解密方法方可解密（解密的過程先要通過A文件解密B文件，然後再通過B文件去解密其他的文件）。其提權環節為通過雲端下發提權策略，並利用了CVE的漏洞來提升root成功率。此外，Dosoft病毒還將自有文件信息寫入殺毒軟體資料庫，最終加大了殺毒軟體的查殺難度。

▲簡易惡意行為邏輯圖

四、安全建議

針對Dosoft病毒，獵豹安全大師等集成安天AVL移動反病毒引擎的安全產品已經實現全面查殺。安天移動安全團隊和獵豹安全實驗室提醒您：

1、建議從正規應用市場下載應用，不要從不知名網站、論壇、應用市場等非正規渠道下載應用；

2、培養良好的安全意識，使用獵豹安全大師等集成了安天AVL引擎的安全產品定期進行病毒檢測，以更好識別、抵禦惡意應用；

3、當手機中莫名出現新安裝應用等異常情況時，請及時使用安全產品掃描手機並對異常軟體進行卸載處理。

更多信息安全資訊

請關注公眾號！