本文講的是<b>小心!Google Play 中出現首個使用代碼注入Android惡意軟體——Dvmap</b>,
前言
從2017年4月開始,研究人員就開始在Google Play商店發現了一個新出現的安卓root惡意軟體。與其他root惡意軟體不同,該木馬不僅能将其子產品安裝到系統中,還會将惡意代碼注入到系統運作的時間庫來擷取root權限并保持持續通路。目前,卡巴斯基實驗室目前已經将其命名為Trojan.AndroidOS.Dvmap.a。
通過Google Play傳播root惡意軟體并沒有什麼驚奇的,自從2016年9月以來,已經有100多種的Ztorg木馬變種上傳到了Google Play。但Dvmap是非常特别的root惡意軟體,它使用各種最新的攻擊技術,但最有趣的是它将惡意代碼注入到系統庫libdmv.so或libandroid_runtime.so中。
這使得Dvmap成為第一個在運作時将惡意代碼注入系統庫的Android惡意軟體,根據統計,它已從Google Play商店下載下傳超過50000次。目前,卡巴斯基實驗室已向Google報告了該木馬,随後Google就将其從商店中删除。
在Google Play上的Trojan.AndroidOS.Dvmap.a
為了繞過Google Play商店的安全檢查,惡意軟體建立者使用了一個非常有趣的方法,他們首先在2017年3月底之前将一個合法的應用程式上傳到商店,随後在更新該合法程式時,注入惡意程式,通常他們會在更新的當天再向Google Play上傳一個合法的應用程式。在4月18日至5月15日期間他們至少進行了5次這樣的操作。
所有Dvmap惡意應用程式都具有相同的功能,它們會從安裝包的assets檔案夾解密多個檔案檔案,并從利用“start”啟動可執行檔案。
有趣的是,Dvmap木馬甚至在64位的安卓版本中都起作用這是非常罕見的。
在32位和64位安卓版本中的一部分Dvmap代碼
所有加密的檔案檔案可以分為兩組:第一組包括Game321.res,Game322.res,Game323.res和Game642.res,這些都是在感染的初始階段使用的,而第二組則是Game324.res和Game644 .res,用于攻擊的主要階段。
初始階段
在此階段,Dvmap木馬會嘗試擷取根權限并試圖在系統上安裝多個子產品,除了一個名為“common”的檔案外,此階段的所有檔案都會包含相同的檔案。如下圖所示,這是一個本地根漏洞包,Dvmap木馬使用了4個不同的exploit pack檔案,3個32位系統和1個64位系統。如果這些檔案成功獲得root權限,該木馬将在系統中安裝多個工具多個子產品包括用中文寫的幾個子產品,以及名為”com.qualcmm.timeservices”的惡意app。這些檔案包含檔案“.root.sh”,其中還包含一些中文說明:
.root.sh檔案的一部分
攻擊的主要階段
在這個階段,Dvmap木馬會從Game324.res或Game644.res啟動“start”檔案。該檔案将檢查安裝的Android版本,并決定使用哪個庫進行攻擊。對于Android 4.4.4及更高版本來說,Dvmap木馬将從libdvm.so庫中使用_Z30dvmHeapSourceStartupBeforeForkv,對于Android 5和更新版本,它将從libandroid_runtime.so庫中使用nativeForkAndSpecialize。這兩個庫都是與Dalvik和ART運作系統相關的運作時間庫。在使用之前,Dvmap木馬将以bak_ {original name}備份原始庫。
使用libdvm.so庫
在攻擊期間,Dvmap木馬将使用惡意代碼覆寫現有的代碼,以便所有可以執行的操作都會執行/ system / bin / ip,這可能非常危險,會導緻一些裝置在覆寫之後立即崩潰。然後Dvmap會将攻擊過的庫放回系統目錄。之後,木馬将從存檔(Game324.res或Game644.res)中使用惡意代碼代替原始的/ system / bin / ip。此時,Dvmap就可以確定其惡意子產品會執行系統權限了。但惡意ip檔案不包含原始ip檔案中的任何方法,這意味着所有正在使用此檔案的應用程式将失去某些功能,甚至會開始崩潰。
惡意子產品“ip”
該檔案将由被攻擊的系統庫執行,它可以關閉“VerifyApps”,并通過更改系統設定啟用來自第三方app商店的應用程式。此外,它可以授權“com.qualcmm.timeservices”應用程式裝置管理者權限,而無需與使用者進行任何互動,隻需運作指令即可。對于擷取裝置管理者權限來說,這種做法是非常罕見的。
惡意應用程式com.qualcmm.timeservices
如前所述,在初始攻擊階段中,Dvmap将安裝“com.qualcmm.timeservices”應用程式。其主要目的是下載下傳檔案并從中執行“start”二進制檔案。在監測過程中,com.qualcmm.timeservices能夠在沒有收到指令的情況下,成功連接配接到指令和控制伺服器。雖然目前,研究人員還沒有搞清楚哪種檔案會被執行,但它們很可能是惡意或廣告檔案。
總結
由于Dvmap木馬通過Google Play商店釋出,并使用了一些非常危險的技術,包括攻擊系統庫,進而将具有不同功能的惡意子產品安裝到系統中。 它的主要目的是進入系統并執行具有root權限的下載下傳檔案,但目前研究人員并沒有從它們的指令和控制伺服器收到這樣的檔案。
另外,這些惡意子產品會向攻擊者回報它們将要做的每一步, 是以研究人員認為這個惡意軟體仍在測試研發階段。
MD5
43680D1914F28E14C90436E1D42984E2
20D4B9EB9377C499917C4D69BF4CCEBE
如何預防被Dvmap攻擊
我們建議安裝了“顔色拼塊”遊戲的使用者對手機的資料進行備份并恢複出廠設定。由于該木馬目前仍在測試階段,是以重新恢複後,它的攻擊力就會消除。其次,要從正規的APP商店進行下載下傳。
原文釋出時間為:2017年6月9日
本文作者:xiaohui
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/vulnerable/5364.html" target="_blank">原文連結</a>