Check Point研究團隊在Google Play Store發現了一款新的Android病毒,并取名為Viking Horde(維京部落)。這款病毒能夠執行廣告欺詐,還能進行DDoS攻擊、發送垃圾信息等。至少已經有5款應用通過了Google Play的病毒掃描。
無論是在已root或是未root的設備上,Viking Horde都會創建一個僵尸網絡,用經過代理的IP地址偽裝廣告點擊,這樣攻擊者就能賺錢。僵尸網絡是一組由黑客控制的設備,設備的用戶毫不知情。根據設備的計算能力不同,“僵尸”能做各種各樣的事。僵尸網絡越大,能夠做的事越多。
在已root的設備上,Viking Horde能夠傳輸額外的惡意payload,從而遠程執行任意代碼,它還會利用root權限使得自身難以刪除。Horde介紹
Viking Horde系列病毒中下載量最大的就是Viking Jump應用,自4月15日上傳到GooglePlay,該應用已經有50,000-100,000的下載量了。有些地方的市場中,Viking Jump還登上了Google Play免費應用排行榜。
提交最早的應用是Wi-Fi Plus,于3月29日提交。其他的應用包括Memory Booster, Parrot Copter, 和Simple 2048。所有感染Viking Horde的應用的評分都很低,研究團隊猜測可能是因為用戶注意到了它奇怪的行為,例如請求root權限。
攻擊者們創建的僵尸網絡散布在全世界各個國家,Check Point研究團隊通過一個C&C服務器收集的數據獲得了其受害者的分布情況。
Viking Horde工作原理
研究Viking Horde代碼和C&C服務器后,研究人員畫出了流程圖。
1.病毒首先從Google Play上下載。當應用啟動游戲時,它會在應用的目錄外面安裝幾個組件。這幾個組件的名字都被偽裝成系統相關的名字,如core.bin,clib.so, android.bin 和 update.bin。如果設備沒有root,組件就會被安裝到SD卡上,如果已經root了,就會安裝到root/data。這些文件中的一個是用來在各組件交換信息的。另一個包含所有生成的組件名稱,方便其他組件訪問它們。
2.接下來病毒會檢查設備是否已經root:
如果是,病毒就會啟動另外兩個組件:
app_exec.實現與服務器的通訊協議
app_exec_watch_dog實現更新和系統駐足。Watchdog 會監控app_exec 進程,如果有必要會重啟。
如果設備沒有被root,惡意軟件就會以共享庫加載app_exec文件,并且通過JNI(Java Native Interface,能夠允許Java代碼運行本地二進制文件)來調用它的函數。
無論哪種情況下,一旦app_exec應用被安裝,它就會與C&C服務器建立TCP連接并且開始通信。通信內容包含下列指令。
Ping。每10秒應用程序就會給服務器發送5個字節。同樣,服務器會回復5個字節。
app_exec組件會監控主程序是否存在。如果用戶卸載了主程序,app_exec會解密一個名為com.android.security的組件并且靜默安裝。這個組件是隱藏的,重啟之后執行。
watchdog組件會安裝app_exec組件的更新。如果app_exec被刪除,watchdog會從更新目錄重新安裝它。
顯然,有些用戶還注意到了這樣的活動:
針對root設備的額外組件
可能最危險的功能就是更新機制:app_exec從服務器下載最新的二進制文件,然后以app_exec_update的名字儲存在/data目錄。
Watchdog會周期性地檢查更新文件是否存在,并且用它替換app_exec。這就意味著VikingHorde可以根據服務器的命令下載新的二進制文件。watchdog組件會用它替換掉應用。這樣的話這臺設備上就可以下載執行任何遠程代碼。附錄 1: app 包名com.Jump.vikingJump
com.esoft.wifiplus
com.fa.simple2048
com.android.wifiman
Com.g.o.speed.memboost
Com.f.a.android.flyingcopters
附錄2: C&C 服務器列表 www[.]adautoexchange[.]com
www[.]adexchng[.]com
www[.]adexchnge[.]com
www[.]adexchangetech[.]com
附錄3: 感染的可執行文件的SHA25685e6d5b3569e5b22a16245215a2f31df1ea3a1eb4d53b4c286a6ad2a46517b0c
254c1f16c8aa4c4c033e925b629d9a74ccb76ebf76204df7807b84a593f38dc0
ebfef80c85264250b0e413f04d2fbf9e66f0e6fd6b955e281dba70d536139619
10d9fdbe9ae31a290575263db76a56a601301f2c2089ac9d2581c9289a24998a
a13abb024863dc770f7e3e5710435899d221400a1b405a8dd9fd12f62c4971de
1dd08afbf8a9e5f101f7ea4550602c40d1050517abfff11aaeb9a90e1b2caea1
e284a7329066e171c88c98be9118b2dce4e121b98aa418ae6232eaf5fd3ad521
*參考來源:Check Point,FB小編Sphinx編譯,文章有修改,轉載請注明來自Freebuf黑客與極客(FreeBuf.COM)
京公網安備 11010502049343號