install-recovery.sh流氓插件腳本
install-recovery.sh流氓插件腳本
你們聽過install-recovery.sh流氓插件腳本嗎?近期,AVL移動安全團(tuán)隊(duì)截獲一款會篡改手機(jī)啟動腳本的流氓插件,該插件一旦被加載運(yùn)行,首先嘗試請求超級用戶權(quán)限,進(jìn)而惡意篡改手機(jī)啟動腳本,釋放特定重打包應(yīng)用(應(yīng)用商店類)到系統(tǒng)應(yīng)用目錄。下面是學(xué)習(xí)啦小編整理的一些關(guān)于install-recovery.sh流氓插件腳本的相關(guān)資料,供你參考。
install-recovery.sh流氓插件腳本:
install-recovery.sh流氓插件一、行為及危害
該插件依靠應(yīng)用主體運(yùn)行,被加載啟動后會嘗試請求超級用戶權(quán)限
篡改手機(jī)啟動腳本,釋放特定重打包的應(yīng)用商店類應(yīng)用到系統(tǒng)應(yīng)用目錄下
后臺上傳設(shè)備Rom自帶的應(yīng)用相關(guān)信息到遠(yuǎn)程服務(wù)器
install-recovery.sh流氓插件二、插件結(jié)構(gòu)
該插件安裝后無圖標(biāo),并偽裝成“skype”在后臺加載運(yùn)行。如圖1所示:
圖1 插件運(yùn)行情況
插件的包結(jié)構(gòu)相對簡單,assets目錄下包含很多ELF可執(zhí)行文件和經(jīng)過加密的資源文件。如圖2所示:
圖2 插件包結(jié)構(gòu)
install-recovery.sh流氓插件三、詳細(xì)分析
1、插件被加載運(yùn)行后,嘗試申請超級用戶權(quán)限
該插件常見為依賴主體應(yīng)用直接進(jìn)入用戶設(shè)備中,也出現(xiàn)過通過某應(yīng)用彈出的插件下載提示,由用戶自行下載該插件。插件一旦進(jìn)入用戶設(shè)備中,將依靠主體應(yīng)用加載運(yùn)行,首先會申請超級用戶權(quán)限。
2、篡改腳本并釋放應(yīng)用到系統(tǒng)應(yīng)用目錄
當(dāng)插件獲取超級用戶權(quán)限后,后臺服務(wù)QService啟動,并在/data/data/com.q.t/目錄下生成.f的隱藏目錄,將資源文件a,b,c,da,db,dc,dd,de讀取后存放在該隱藏目錄下,并解密文件43bin和ntf,在.f隱藏目錄下生成insqn的腳本。
創(chuàng)建腳本:
生成的腳本如下圖所示:
腳本被執(zhí)行后,將隱藏目錄當(dāng)中的文件替換系統(tǒng)的配置文件,包括apn,install-recovery.sh。
除此之外,程序運(yùn)行時(shí),還會后臺監(jiān)控腳本是否執(zhí)行成功,并將相關(guān)的狀態(tài)信息上傳到遠(yuǎn)程服務(wù)器。一旦執(zhí)行成功,便立即刪除插件程序以及插件程序?qū)?yīng)的數(shù)據(jù)目錄文件。
資源文件釋放位置對應(yīng)關(guān)系表:
替換系統(tǒng)啟動腳本后,手機(jī)會在啟動后傳入“—auto-daemon”參數(shù)以守護(hù)進(jìn)程形式運(yùn)行update模塊,載入正常的啟動腳本。而后在系統(tǒng)目錄中安裝一款名為“應(yīng)用商店”的應(yīng)用。
經(jīng)過分析發(fā)現(xiàn),“應(yīng)用商店”重打包了一款知名的市場類應(yīng)用,如下圖所示,與官方版本相比,重打包后的應(yīng)用在原官方應(yīng)用基礎(chǔ)上增加了com.ally和com.fun這樣的包結(jié)構(gòu)。
在程序清單文件當(dāng)中也發(fā)現(xiàn)重打包應(yīng)用當(dāng)中增加了相應(yīng)的Receiver和Service。
3、后臺上傳用戶手機(jī)Rom相關(guān)信息到遠(yuǎn)程服務(wù)器
在重打包應(yīng)用增加的com.ally包結(jié)構(gòu)當(dāng)中,其通過調(diào)用native層方法來獲取用戶設(shè)備和Rom內(nèi)置應(yīng)用相關(guān)信息。
通過該方法獲取的用戶信息包含以下兩類:
1)設(shè)備相關(guān)信息
包含用戶手機(jī)IMEI,IMSI,手機(jī)品牌,型號,SDK版本,當(dāng)前應(yīng)用程序包名,wifi mac地址,網(wǎng)絡(luò)聯(lián)網(wǎng)狀態(tài)。
2)用戶安裝的應(yīng)用信息
主要是用戶安裝的應(yīng)用信息、Rom自帶的應(yīng)用信息,含/system/framwork以及/system/app目錄下的應(yīng)用。
獲取用戶應(yīng)用信息后,通過回調(diào)接口將獲取的用戶隱私信息上傳到遠(yuǎn)程服務(wù)器。
通過分析,發(fā)現(xiàn)如下遠(yuǎn)程服務(wù)器:
xxpl.mehadoop.com
103.17.42.195
flashapi.5dong.com.cn
通過對域名反查發(fā)現(xiàn),這些域名都是通過阿里云注冊的,部分域名是由國內(nèi)做rom推廣的廠商所擁有,而部分已失效。
看過文章“install-recovery.sh流氓插件腳本”的人還看了:
6.開機(jī)反應(yīng)慢是什么原因