幽灵推 席卷全球的幽灵推(Ghost Push)病毒分析报告

编辑:
发布时间: 2020-12-13 22:21:33
分享:

2015年8月,酷派大神手机用户在安装官方提供的系统升级包后,手机便被预安装了MonkeyTest和TimeService等未知软件。截止到9月18日,该类病毒的每日感染量已经扩大到了最高70万台/天,有上万种机型收到了Ghost Push的影响,典型的有酷派、三星、MOTO等等。

通过数据分析如图1所示,我们发现Ghost Push病毒感染用户主要分布于美国、俄罗斯、印度、中国等。相对在中国而言,云南、广东感染量最高。

图6 修改install-recovery.sh文件

1.4 释放恶意bin文件

病毒将恶意bin文件的二进制代码固定内嵌在Java代码中,并在执行的过程中,向/system/xbin目录下释放。

图7 释放bin文件

1.5 安装ROM病毒

在恶意代码执行的过程中,会向系统目录/system/priv-app或/system/app中写入如camera_update应用的病毒母体,如图8所示。

图8 释放病毒母体

由于获得了Root权限,恶意代码首先检查/system/priv-app目录下是否安装了camera_update病毒母体。该病毒母体会在bin文件的守护下,一直存在在手机的ROM中,防止被卸载,详见第二节分析。

病毒母体在安装完毕后,会静默安装Time Service、Monkey Test等应用。这些应用会通过短连接方式从服务器获取应用信息,在未经过用户允许的情况下进行下载安装,如图9、图10所示。

图9 Monkey Test子包从服务器获取应用信息

图10 在用户未知的情况下在ROM内安装应用

二、病毒母体守护流程分析

2.1 bin文件守护ROM病毒母体

在系统启动时,会执行install-recovery.sh与debuggerd文件。这两个文件会执行释放的恶意bin文件。bin文件会一直保持运行状态,守护释放在ROM中的病毒母体。并从服务器获取最新病毒安装包。

图11 获取最新病毒包

当病毒母体被删除后,bin文件会自动再次下载并向ROM中安装病毒母体,如图12所示。

图12 病毒母体守护流程

图13 病毒母体安装流程

2.2 bin文件防删除

同时,在手机运行的过程中,通过图14所示的chattr +i操作,使得用户无法删除恶意bin文件。

图14 通过chattr +i操作防止用户删除bin文件

2.3 apk防卸载

Ghost Push病毒通过chattr + i操作使得用户无法卸载已经安装的apk应用,如图15所示

图15 通过chattr + i操作防止用户卸载apk

三、病毒恶意行为分析

Ghost Push病毒安装的应用软件均具有数据流量广告推送、静默安装应用软件两种恶意行为。

3.1 广告推送

通过Ghost Push病毒安装、释放在用户手机上的应用,会通过手机数据流量向用户推送广告。具体流程如图16所示。当用户开启屏幕时,便会触发展示推送广告推送。

图16 开启屏幕触发广告推送

值得注意的是,Ghost Push病毒在推送广告的过程中,会首先关掉用户手机的WiFi连接,通过用户的手机流量来获取需要推送的广告内容,如图15中红色方框内容所示。在用户不知情、未得到允许的情况下盗用了大量的数据流量。

3.2 应用推送

Ghost Push病毒母体释放的Time Service、Monkey Test子包还会向用户推送应用并安装,如图17所示。病毒从http://m.AEDXDRCB.COM/gcview/api/910获取需要推广的应用。

图17获取需要推广的应用

返回的结果有不同的推广类型, 比如直接后台下载,快捷图标,弹通知栏等方式。如图18所示。

图18获取需要推广应用请求返回

比如以下返回直接后台下载的推广应用。病毒会在在后台下载完成后自动安装,如图19所示。

图19 后台安装应用

Ghost Push病毒中各种推广任务,会使用sqllite数据库作为中转,如图20所示。

图20 sqllite中转推广任务

在实际我们测试中, 可以看到以下的推广数据,如图21-24所示。

图21 后台推送应用日志文件

图22 安装应用

图23 推送应用提醒用户安装

图24 推送安装应用列表

3.3无Root静默安装

为了进一步地保证成功地安装下载应用,病毒还会诱导用户开启辅助功能,如图24所示。之后如图25所示的代码,病毒通过辅助功能,模拟用户点击操作来成功地安装应用。并且图25左侧文件列表也显示出其可以适配不同系统市场的安装方式。

图24 开启辅助功能

图25 通过辅助功能静默安装

四、解决方案与安全建议

4.1 解决方案

用户可以选择使用猎豹专杀工具https://play.google.com/store/apps/details?id=com.cleanmaster.security.stubborntrjkiller或手动删除病毒软件。手动删除方法如下:

1、使用刷机软件,一键获取ROOT权限。2、下载安装adb工具,http://developer.android.com/tools/help/adb.html。3、下载安装busybox工具,http://www.busybox.net/。4、在电脑端,通过adb shell连接手机,使用su命令获取ROOT权限。5、ps | grep .base #获取.base文件的pid kill pid6、删除恶意bin文件mount -o remount rw /system #不同系统命令可能不同chattr –ia /system/xbin/.ext.basechattr –ia /system/xbin/.bat.basechattr –ia /system/xbin/..basechattr –ia /system/xbin/.word.basechattr –ia /system/xbin/.look.basechattr –ia /system/xbin/.like.basechattr –ia /system/xbin/.view.basechattr –ia /system/xbin/.must.basechattr –ia /system/xbin/.team.basechattr –ia /system/xbin/.type.basechattr –ia /system/xbin/.bchattr –ia /system/xbin/.sys.apkchattr –ia /system/xbin/.dfchattr –ia /system/bin/daemonuischattr –ia /system/bin/uischattr –ia /system/bin/debuggerdchattr –ia /system/bin/nischattr –ia /system/bin/daemonnischattr –ia /system/bin/.daemon/nischattr –ia /system/bin/uischattr –ia /system/bin/.sr/nischattr –ia /system/bin/mischattr –ia /system/bin/daemonmischattr –ia /system/bin/.daemon/mischattr –ia /system/bin/.sc/mis rm /system/xbin/.ext.baserm /system/xbin/.bat.baserm /system/xbin/..baserm /system/xbin/.word.baserm /system/xbin/.look.baserm /system/xbin/.like.baserm /system/xbin/.view.baserm /system/xbin/.must.baserm /system/xbin/.team.baserm /system/xbin/.type.baserm /system/xbin/.brm /system/xbin/.sys.apkrm /system/xbin/.dfrm /system/bin/daemonuisrm /system/bin/uisrm /system/bin/debuggerdrm /system/bin/nisrm /system/bin/daemonnisrm /system/bin/.daemon/nisrm /system/bin/uisrm /system/bin/.sr/nisrm /system/bin/misrm /system/bin/daemonmisrm /system/bin/.daemon/misrm /system/bin/.sc/miscp /system/bin/debuggerd_test /system/bin/debuggerd7、使用猎豹安全大师清除恶意软件,无法清除的软件使用以下命令清除。chattr –ia /system/priv-app/cameraupdate.apkchattr –ia /system/priv-app/com.android.wp.net.log.apkrm -rf /data/data/com.android.camera.updaterm -rf /data/data/com.android.wp.net.logrm /systam/priv-app/cameraupdate.apkrm /systam/priv-app/com.android.wp.net.log.apk8、adb shellcp /system/etc/install-revcovery.sh /sdcard/adb pull /sdcard/install-revcovery.shadb push install-revcovery.sh /sdcard/cp /sdcard/install-revcovery.sh /system/etc/9、打开/system/etc/install-recovery.sh,将其中如下代码段注释或删除。 /system/bin/daemonuis --auto-daemon & #!/system/bin/sh /system/xbin/.ext.base & #!/system/bin/sh /system/xbin/.ext.base &

4.2 安全建议

建议用户从正规应用市场下载应用,谨慎下载安装附件二中的应用。同时,安装猎豹安全大师,验证下载应用的合法性,对手机进行实时的安全监控。

五、总结

Ghost Push病毒通过广告SDK或浏览器广告进行大范围的传播,通过对病毒的跟踪分析,得知Ghost Push这类病毒软件伪装成合法的软件。用户一旦感染,恶意代码在开机时运行install-recovery,同时通过chattr + i命令防止用户通过杀毒软件建或手动卸载。恶意代码通过用户数据流量进行广告推送,并且在未经过用户允许的情况下静默下载安装应用,给众多安卓用户带来了不可避免的影响及危害。

本文在对病毒执行流程进行分析之后,提供了用户手动清除病毒的方法。最后,我们在对病毒来源进行分析之后发现病毒软件的大部分签名为C=CN/O=xinyinhe/OU=ngsteam/CN=ngsteam,来自于一家名为xinyinhe的公司。本着刨根问题的原则,我们也在附件三中对这家xinyinhe公司进行了全面的调查。

我们建议用户从正规渠道下载应用,并且安装猎豹安全大师,保证应用的合法性,实时维护用户的手机安全。

[附件一] 部分受感染机型列表

[附件二] 感染应用列表

[附件三] 深圳市新银河技术有限公司

直觉告诉我们,这家新银河技术有限公司和一键ROOT大师有着千丝万缕的联系。不要问我们直觉哪里来的~~

那么到底这两家公司有没有关系呢?我们首先百度、谷歌了一下新银河的官网,结果显示这家公司没有官网。于是——

我们上了拉钩招聘发现了该公司的链接。

从招聘信息上我们得知http://www.ngemob.com 和 http://root.ngemob.com 都是深圳市新银河技术有限公司的网站。

找到公司官网之后,真相逐渐浮出水面!!!现在的一键ROOT大师http://www.dashi.com/ 和 http://www.ngemob.com 使用过同一ip。

并且,国外的论坛上也经常出现一键ROOT大师和http://root.ngemob.com扯不清的关系。

此外,我们还搜集了一些佐证。

佐证一:好搜百科。

佐证二:某锁屏APP,由深圳市新银河技术有限公司开发。

毕竟没有官网并没有给出任何明线表示两家公司的联系。我们也是推论猜测,没有任何结论,请各位看官自行判断。

最后,希望大家一起努力,相信猎豹,会给亿万用户筑起安全防护墙!

病毒的清除方法视频 :

相关阅读
热门精选
孩子 皮肤