手机病毒开发

背景

8月14日凌晨，王宝强通过社交媒体发布离婚声明，消息一出即刻引爆社交圈。一夜之间，部分恶意开发者立即抓住机会，利用此次事件散播“xx抓奸视频”“宋x马x录像”等恶意链接，并悄然传播，极大地威胁着“吃瓜群众”的隐私和财产安全。

通过伪装成“色情视频”“美女写真”等所谓宅男福利以进行恶意传播的现象，在PC端已司空见惯。 按理说用户对这类老套的手法早就有较强的防范意识，但据安天AVL移动安全团队和猎豹移动安全实验室最新捕获的一个病毒发现，这种手法虽然老套，但是恶意攻击效果之显著，令人咋舌。

近期，安天AVL移动安全团队和猎豹移动安全实验室捕获一款名为SexTrap的病毒，该病毒潜伏在色情应用中，一旦用户下载并安装该色情应用，灾难将降临至用户手机中。SexTrap病毒一旦运行，将立即加载恶意子包私自提权以获取Root权限，利用手机最高权限将下载的核心推送模块推送到系统目录下并锁定，使用户难以察觉和卸载；然后私自联网获取推送数据，进一步向用户手机系统目录推送包含恶意扣费模块的恶意应用，并通过远程控制指令启动运行此类应用，给用户造成极大经济损失。

哪个省份的用户最容易中招？

SexTrap病毒自6月捕获至今，在国内大部分地区广泛传播。截止目前各个省份的感染情况如下图所示。从图中可以看出，广东省是病毒感染人数最多的省份，山东省紧跟其后，随后是北京市、河北省以及河南省。

病毒详细分析

病毒运行流程

SexTrap病毒运行流程可以分为三个部分：

Part1：通过母体程序加载调用恶意子包

携带SexTrap病毒的母体程序运行时加载libMwzgrqfvuo.so（每个母体内的so文件名称不同，以此为例）文件，通过so文件调用资源文件中名为“xme.png”实为apk程序的恶意子包。该程序通过类加载器反射调用恶意子包中com.dex.kit.MainClass类的startAction方法来启动恶意子包。

Part2：私自对用户手机提权，联网下载核心推送模块

a)    恶意子包启动时联网上传用户手机型号等信息获取Root方案和下载地址，下载相应的提权文件并解密，利用Android漏洞对用户手机进行提权。

b)    联网获取下载SexTrap病毒核心推送模块的下载地址和指令信息。该恶意程序通过二次联网下载核心推送模块，并将其静默安装并推送到系统目录下，最后执行网络指令启动该模块。

c)     恶意子包读取并解析母体程序资源文件夹中的mcg.bak文件，获取恶意程序的下载地址和启动指令，联网下载恶意程序然后将其推送到系统目录下并通过指令启动。该恶意应用同样具有推送的功能。

Part3：下载、安装、运行、推送应用

核心推送模块启动后会不断联网获取推送数据并下载推送的apk，同时利用Root权限将其推送到系统目录下，然后静默安装，最后通过网络指令使用将其启动，对用户造成极大的资费损耗。

工作原理

1.加载调用恶意子包

SexTrap病毒运行时加载so文件，加载资源文件中的恶意子包，通过类加载器反射调用com.dex.kit.MainClass类的startAction方法来启动恶意子包。

so文件反射调用恶意子包。

2.私自获取Root权限

恶意子包运行时会上传用户的手机信息，根据手机信息下载多种Root方案包括“858”、“778”、“611”、“841”、“52”，根据Root方案对应的提权文件对用户手机进行提权，提权成功后删除提权文件。

下载提权文件网络截图：

提权后释放的工具文件。

3.下载安装核心模块

恶意子包在本地解密并获取核心模块的下载地址，进行下载。

上图是获取核心模块下载地址的抓包截图。获取的数据主要包含字段“sd”：通过am启动KitService服务来远程启动核心模块、“dl”：核心模块下载地址、“pn”：核心模块包名。

静默安装核心模块并通过上面获取的网络指令启动，同时将其推送到系统目录中并锁定。

同时恶意子包还会读取母体程序资源文件mcg.bak，下载同类推送恶意程序。下载后的文件是一个zip文件，其中包含要安装的应用和启动指令。

cfg文件中保存着远程服务器控制安装应用和启动应用的指令。

恶意子包下载的文件都会保存SD卡隐藏目录.work中。

4.推送恶意扣费应用

SexTrap病毒核心模块运行时会持续联网获取推送数据并保存在本地/data/data/<packagename>/shared_prefs/i_app_info.xml文件中。同时该病毒会将下载的恶意应用保存在SD卡Android/data/cache/tmp目录中，这些恶意应用被安装运行后会被删除。

下图为部分联网推送的数据信息:

保存在i_app_info.xml中的推送数据具体字段说明如下：

推送色情类的扣费App。

总结

SexTrap病毒通过潜伏在色情应用中传播，方法较老套但是传播效果极佳。一方面，该病毒将恶意子包伪装成后缀为“.png”的文件，在安装完推广应用之后立即删除安装包文件，这一系列操作都是为了躲避杀软的查杀，隐蔽性极强。另一方面，该病毒为增加提权操作的成功率，会上传感染用户的设备信息，以获取针对性的Root方案和提权工具，攻击手段难以防范。从该病毒以及之前播报过的病毒可以看出，新出现的病毒大多隐蔽性极强，同时对Root的依赖性较高，安天AVL移动安全团队特此提醒广大用户尽量不要Root手机，一旦发现手机在不知情下被Root时，要警惕是否感染了病毒并立即安装杀毒软件对病毒进行查杀。

* 作者：AVLTeam（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）