查看: 1525|回复: 6
收起左侧

过年不安生 Android.KungFu病毒爆发

 关闭 [复制链接]
bbbxyoiil
发表于 2012-1-17 17:34:32 | 显示全部楼层 |阅读模式
过年不安生 Android.KungFu病毒爆发



2011年是Android设备爆发的一年,越来越多的朋友都享受到了智能机给生活带来的便利,但与此同时,越来越多的恶意软件也盯上了这个系统,连新年也不让人安生。下面就为大家分析一款近日流行的恶意软件——Android.KungFu系列变种,并且介绍针对这一病毒的解决方案。

病毒介绍

Android.KungFu最早在6月份被安全厂商截获,随后又出现了至少3种不同的变种,截止到发文为止,这款病毒仍然在不断演化。KungFu系列病毒的特征非常典型,感染此病毒的手机会自动在后台静默下载并安装某些软件,造成用户流量话费损失以及系统全自动安装广告软件。当手机感染此病毒后使用常规安全软件无法彻底清除,甚至将手机恢复至出厂设置也无法解决问题。

这款病毒通常会捆绑在某些合法软件内,在第三方Android应用市场和论坛中传播,常见的宿主包括一键VPN(免费)、音乐随身听等,截止到发文,LBE团队已经通知各大第三方Android应用市场和论坛关注该类型的应用。

S2012011703585057.jpg


病毒分析

Android.KungFu整体架构由两个模块构成,第一个模块(Loader)会在宿主运行到特定场景时激活,随后执行提权操作,并加载第二个模块(Payload),Payload模块则常驻内存,执行各种威胁手机安全的操作。Android.KungFu不同的变种之间,区别主要在于不同的Loader,Payload模块则基本相同。

当Loader模块被激活后,首先会试图获得ROOT权限。根据宿主软件的不同,Loader会采用不同的策略,如果Loader宿主本身需要ROOT权限, Loader就会附着在宿主需要以ROOT权限执行的代码之后运行(例如一键VPN免费版,其中捆绑的Android.KungFu会嵌入在安装VPN的代码中)。如果宿主本身不需要ROOT权限,Loader会利用公开的漏洞(NPROC_RLIMIT)在后台静默获取ROOT权限(例如音乐随身听)。由于这个漏洞广泛的存在于Android2.1和2.2设备上,所以,即使手机没有ROOT权限,多数手机依然会受这个病毒威胁。

然后,随后,Loader会进行以下操作(不同的变种具体细节可能不同):

1.将系统分区设置为可写

2.获取设备信息,包括系统版本,手机品牌,Device ID,SDK版本等数据,写入mycfg.ini,并将此ini文件复制到/system/etc下重命名为.rild_cfg

使用AES加密算法解密Payload(Payload通常保存在宿主的assets中,名为Webview.db.init),并将Payload复制以下位置:

/system/etc/.dhcpcd
/system/xbin/ccb
/system/bin/installd(将原始文件备份为/system/bin/installdd)
/system/bin/dhcpcd(将原始文件备份为/system/bin/dhcpcdd)
/system/bin/bootanimation(将原始文件备份为/system/bin/bootanimationd)

3.恢复系统分区为只读,并执行/system/xbin/ccb

至此,Payload已经完成金蝉脱壳,从宿主APK中成功的被释放出来了。由于病毒替换的关键系统文件(installd, dhcpcd, bootanimation)在开机过程中会自动启动,因此病毒实际上具备了以ROOT权限开机自动启动的能力。同时,由于Payload已经脱离APK藏身于系统分区内,即使安全软件检测到病毒,也无法进行清理操作。

当Payload随系统自动启动之后,会尝试连接以下地址,获取攻击命令:

http://search.gongfu-android.com:8511
http://search.zi18.com:8511
http://search.zs169.com:8511

由于Payload感染了多个系统进程,为避免相互冲突,当任意一个Payload进程连接至控制服务器后,便创建/system/etc/dhcpcd.lock文件锁来进行进程同步。

目前Payload已知的功能包括:

1.自动下载APK软件包至本地

2.静默安装APK软件包

3.启动指定APK软件包

4.静默卸载APK软件包

5.设置浏览器首页(未使用)

至此,病毒就会源源不断的向受感染的手机中自动下载并安装软件,从中获取高额利益了。

清除方法

1.使用专杀工具

由于Android.KungFu的特殊性,常规安全软件无法完全清除此病毒,因此LBE小组提供了专用Android.KungFu专杀工具,彻底清理Android.KungFu在系统内的残留,您可以从http://www.yingyong.so/app/8/4426.htm下载到此工具。需要注意的是,使用此工具之前,您必须使用安全软件全盘扫描,确保所有感染病毒的APK文件已被清理,否则有可能清除不彻底导致重新感染。

2.手工清理

我们推荐用户使用专杀工具,方便快捷,但如果您希望能自己动手的话,也可以手工清除Android.KungFu残留。同样在手工清除前,请使用安全软件全盘扫描,确保所有感染病毒的APK文件已被清理,否则有可能清除不彻底导致重新感染。

如果您的手机未安装过Busybox,请首先安装Busybox:http://www.yingyong.so/app/8/4277.htm

使用超级终端软件,或者在PC上使用adb shell连接至手机,获取root权限后,执行以下命令:

busybox mount –o remount,rw /system
busybox chattr –i /system/etc/.dhcpcd
busybox rm /system/etc/.dhcpcd
busybox chattr –i /system/etc/dhcpcd.lock
busybox rm /system/etc/dhcpcd.lock
busybox chattr –i /system/etc/.rild_cfg
busybox rm /system/etc/.rild_cfg
busybox chattr –i /system/xbin/ccb
busybox rm /system/xbin/ccb

如果/system/bin/installdd文件存在的话,执行以下操作

busybox rm /system/bin/installd
busybox mv /system/bin/installdd /system/bin/installd

如果/system/bin/dhcpcdd文件存在的话,执行以下操作

busybox rm /system/bin/dhcpcd
busybox rm mv /system/bin/dhcpcdd /system/bin/dhcpcd

如果/system/bin/bootanimationd文件存在的话,执行以下操作

busybox rm /system/bin/bootanimation
busybox rm mv /system/bin/bootanimiationd /system/bin/bootanimation

最后,重启手机,完成清理

reboot

对以上操作的一些说明:

chattr命令是用来去除文件的EXT2_IMMUTABLE_FL标志位。如果系统分区使用ext文件系统的话,病毒会给所有受感染的文件设置此标志位,此标志位可以防止文件被删除(这也是有些用户尝试用RE管理器删除失败的原因)。如果您在执行chattr命令的时候出现错误,也不要惊慌,这说明您的系统分区不是ext文件系统,只要随后的rm命令能够成功执行,就表示清理操作已成功。

结语和分析

以破坏系统、炫耀技术为目标的恶意软件早已淡出视线,如今的恶意软件都以明确的利益为导向, Android.KungFu也不例外。根据用户报告,该病毒会自动向用户手机中安装并激活下列软件:大众点评、游戏快递、有你短信、京东商城、当当网、银联、盛大切客、云中书城等。很明显,这是一款通过自动推送并静默安装软件,以获取推广费用为目的的恶意软件。根据当前市场上一个有效激活大约2元人民币的价格,我们不难算出病毒作者以损害用户经济利益为代价,轻易攫取了高额的回报。

目前多数安全软件仅仅会扫描APK文件,而以Android.KungFu为代表的恶意软件,则已经具备初步的感染ELF文件的能力。安全厂商应尽快跟进,加强ELF文件扫描的能力。

由于Android平台的漏洞的频频出现,而厂商在ROM更新方面相对滞后,导致相当一部分Android设备暴漏在提权漏洞的威胁中。作为Android用户,您切不可认为不ROOT就等于安全(更何况,还有相当多的恶意软件无需ROOT也可以运行)。我们建议您:只通过安全的途径下载使用软件,不安装来历不明的软件(谨慎安装各种汉化版、破解版软件),使用一款安全软件,通过以上途径来保护您手机的安全。

感谢LBE小组投递

评分

参与人数 1经验 +20 收起 理由
鲁路修 + 20 感谢支持,欢迎常来: )

查看全部评分

思梦潮
头像被屏蔽
发表于 2012-1-17 17:39:28 | 显示全部楼层
这病毒竟然叫功夫,下次估计出的叫熊猫
bbbxyoiil
 楼主| 发表于 2012-1-17 17:40:54 | 显示全部楼层
思梦潮 发表于 2012-1-17 17:39
这病毒竟然叫功夫,下次估计出的叫熊猫

主要是它对手机不利
taoyuan237
发表于 2012-1-17 17:46:44 | 显示全部楼层
样本已收集
思梦潮
头像被屏蔽
发表于 2012-1-17 18:30:26 | 显示全部楼层

RE: 过年不安生 Android.KungFu病毒爆发

bbbxyoiil 发表于 2012-1-17 17:40
主要是它对手机不利

一直没换手机,现在andriod病毒泛滥吗?08年用symbian的时候就说有病毒,还被网秦忽悠了2块钱,实际上当时只要不乱装主题就不会中病毒
bbbxyoiil
 楼主| 发表于 2012-1-17 19:14:21 | 显示全部楼层
思梦潮 发表于 2012-1-17 18:30
一直没换手机,现在andriod病毒泛滥吗?08年用symbian的时候就说有病毒,还被网秦忽悠了2块钱,实际上当时 ...

是的,但是还是有的,
TIan宠物
发表于 2012-1-17 19:26:44 | 显示全部楼层
bbbxyoiil 发表于 2012-1-17 19:14
是的,但是还是有的,

塞班的签名机制几乎不可能让病毒有机可乘....
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 21:57 , Processed in 0.134556 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表