百脑虫”手机病毒分析报告

　　一.背景

　　2015 年末，不少人手机中莫名其妙地被下载安装其他应用、手机自动订阅扣费服务等问题，手机还原出厂设置后，问题依旧无决。类似的用户反馈近期越来越多，经发现，引起此类症状的元凶为一linux系统层病毒。

　　该病毒的核心模块包括一个ELF系统文件conbb(configopb)及一个伪装系统应用的APK文件core，通过这些文件，我们发现病毒提供了一整套完善的实现和接口，能够被不同的APK应用方便的打包调用，进而造成该病毒被广泛，影响恶劣。据后台数据分析，打包该病毒模块的应用达数百种之多，因此，我们该病毒命名为“百脑虫”病毒。

　　通过搜索引擎能够轻松的发现中招网友的反馈：

　　图1 “百脑虫”感染网友反馈

　　二.

　　“百脑虫”病毒是以插件的形式嵌入各种应用程序里面的，其中又以本身就有很多问题的类应用和一些受欢迎的高广应用居多，这些被重打包的问题程序通过第三方电子市场或某些类网站进行疯狂。

　　1、视频类应用

　　嵌入百脑虫病毒的类APP的名称具有极高的性，如影院、媚娘影音、干姐姐视频、禁播视频等。一旦“宅男”用户对这些极其性的APP名称经不起其，点击安装此类应用即可中招。

　　图2 嵌入百脑虫病毒的类应用

　　2、高人气正常应用

　　具有较高人气的正常应用也是百脑虫病毒的重灾区。如千炮捕鱼新年版、极品时刻表、全名挖钻石等都被的病毒作者，嵌入了百脑虫病毒。如用户安全意识薄弱，未通过或正规第三方电子市场下载安装此类应用，很容易被百脑虫病毒感染。

　　图4 百脑虫模块关系

　　打包百脑虫的应用启动后，会提权一个无图标的APK到系统应用径里，此APK在后台默默运行，用户难以发觉。此APK就是百脑虫病毒的核心模块，它主要功能有检查安全软件、劫取用户隐私、静默推广安装其他应用及病毒文件等。

　　百脑虫执行流程图如下：

　　图5 百脑虫执行过程

　　1、打包百脑虫的应用启动后，首先从assets文件夹中的加密数据文件中解密所有重要模块。其中包含第三方root提权工具、su文件、core核心模块、conbb病毒安装脚本、install-recovery.sh等。

　　2、判断用户手机是否处于root状态。如果不是root状态，将用户机型、系统版本等信息给云端，并从云端下载与机型、系统版本相应的已知漏洞的root提权文件，使用第三方工具执行root提权。

　　3、提权成功后将core模块复制到/system/app下成为系统应用，使用户无法通过正常方法卸载此应用。

　　4、core模块一直运行在后台，判断自己是否处于安全厂商沙箱中，如果是，则直接退出不做进一步行为。

　　5、core模块判断是否有安全软件服务在运行，如果是，尝试强制终止其服务进程。

　　6、core模块删除所有其他root工具及root授权管理应用，使其他应用无法获取root权限。

　　7、周期性地从后台静默下载安装众多其他应用及病毒文件。

　　四.详细分析

　　1、百脑虫重打包代码

　　百脑虫病毒是被其他应用重打包后的，一个被重打包的应用，入口函数中会加入一行病毒的启动代码。此应用运行时，百脑虫病毒代码将获得执行权限。

　　图7 获取密钥及运行相关配置信息

　　从实际病毒样本中获取的密钥为“3431424213”，运行相关配置信息为“0000100336”。密钥会用在解密百脑虫病毒其他模块及字符串。 母包APP层的解密算法有两种：dn_1、dn_2。dn_1是用来解密其他百脑虫相关模块，dn_2是用来解密关键字符串。

　　图11 解密后百脑虫文件

　　此后，百脑虫会检测运行是否真实，如果检测到沙箱，病毒会自动退出。

　　通过检测以后，病毒判断系统是否存在文件“/sytem/bin/conbb”、“/system/xbin/conbb”、“/system/bin/su”、“/system/xbin”中的任何一个或服务进程“ternal.server”。如果是，则说明手机已经处于root状态，检验结果给远程服务器并执行后面的流程，如果病毒判断手机未root，则加载librgsdk.so模块执行root提权。librgsdk.so原本是正规厂商的root提权模块，但由于对调用者的验证不严谨，导致把接口给了病毒作者。

　　图13 安装及执行core应用

　　2、百脑虫core模块

　　core模块是百脑虫病毒的核心模块，通过驻留在系统空间，实现其下载推广的恶意行为，它通过注册receiver实现随系统开机或网络状态改变时启动。

　　图19 部分解密后的关键字符串

　　core初始化完毕以后，将执行其核心功能。首先会将用户手机信息及病毒运行结果给远程服务器。上传的信息包含病毒当前版本、手机imsi、当前病毒运行时间间隔、是否为内置rom、病毒运行是否安全、已安装的应用列表、已经下载的JAR包等等。

　　图20 百脑虫上传信息

　　云端根据手机上传信息选择返回内容。如果上传信息一切顺利，服务端将会返回JAR包下载列表。测试时返回的下载地址为“”。

　　图23 从下载的jar包安装apk

　　此外，百脑虫还会将自己推广的APK及安装配置信息备份至目录“/mnt/sdcard/Android/com/usbdevice/dbinfo”下，以便被用户卸载后立即还原，因此，一般用户基本不可能手动将其清理掉。

　　图24 百脑虫备份自身文件

　　分析发现，“百脑虫”病毒除了在手机启动或者网络连接状态发生变化时，执行其恶意功能，它还设置了一个时间周期，即每隔一个小时，便连接病毒服务器下载应用执行，并对下载的文件进行备份，一旦发现被删除卸载则重新安装。

　　五.问题应用

　　据后台数据分析，打包百脑虫的应用达数百种之多，这里我们分析一些量较广的问题应用做简单介绍，详细情况见附录一。

　　1、“禁播视频”：除了具有百脑虫的病毒功能之外其自身行为也极其恶劣。不仅恶意

　　推广其他应用，还会未经用户允许后台偷偷订阅扣费业务给用户造成经济上的损失。因“禁播视频”运行时会屏蔽“成功订阅服务”、“验证码”之类的扣费相关短信，用户难以第一时间察觉。

　　图26 扣费验证码

　　2、“雷霆战机2015新年版”：此款游戏原本是正常且最近人气较高的射击类手游。一旦用户从非渠道下载安装嵌入“百脑虫”病毒的重打包应用， “百脑虫”病毒也跟随此应用被偷偷安装。因“百脑虫”病毒无图标，且伪装成系统应用户很难察觉它的存在。

　　六.查杀与修复

　　“百脑虫”病毒可以大范围的主要原因之一是由于用户的安全意思薄弱。为了防止被“百脑虫”病毒感染，提以下：

　　1、 不要轻易下载安装所谓“类”相关视频应用。

　　2、 下载应用时尽量通过或正规第三方电子市场下载安装。

　　3、 如遇到被静默安装其他应用或恶意扣费等安全相关异常症状，立即反馈给正规安全

　　厂商。

　　4、 安装正规手机安全软件实时系统安全。

　　附录一：打包百脑虫应用

推荐：