【木马分析】破坏者病毒：广告SDK背后的魔手

导读

---

“我确定我就是那一只披着羊皮的狼、而你是我的猎物是我嘴里的羔羊”用这句歌词来形容“X破坏者”病毒好像很贴切：

利用某互联网巨头公司证书签名、依靠各大应用市场传播。

下载量超过100万。

“破坏”安全软件、难以清除。

“X破坏者”病毒的背后，有着一套成熟运转的黑色产业链。

这些不法分子究竟还有哪些企图？究竟会对用户手机造成多大的破坏？面对这样恶劣的病毒又应该如何防范？本报告将为你深度分析“X破坏者”背后的故事，揭开其背后的黑色产业链。

一、        愈发猖獗的破坏

---

近几个月360互联网安全中心不断收到用户反馈，手机中病毒后无法清除，并且会导致杀毒软件闪退。通过协助用户我们发现始作俑者为一个极具破坏性的手机病毒。据用户反馈，手机中招后，Root工具将没法成功Root，杀毒软件全部“失灵”，并且都伴随有闪退现象。

除此之外，此病毒还会发送扣费短信私自订制包月业务，并且疯狂下载安装应用，造成用户资费消耗。

近几年来，破坏手机系统文件的病毒越来越多，但是像这种破坏性极强的病毒很少见，因此我们给该病毒取名为“X破坏者”。

二、        产业链挖掘

---

为什么会有这么多的用户反馈？为什么会导致众多应用崩溃？经过深度挖掘，我们从“X破坏者”挖掘出了一条从逆向各大安全软件到开发病毒再到病毒传播的幕后产业链。

(一)        重要线索

线索一：通过应用市场传播

令人惊讶的是，我们发现“X破坏者”居然能绕过某些Android应用市场的安全检查，而且累计已有上百万的下载量，其中下载量大的已超过60万。在追查绕过原因时，我们发现“X破坏者”APK母包程序竟然持有某公司证书签名，使分析研究工作一度陷入僵局。

从应用市场下载病毒MD5列表如下:

线索二：幕后广告SDK

APK病毒与ELF系统底层病毒使用的域名如下表。

通过360天眼，分析出“X破坏者”所使用的域名与IP之间的相关联系，如下图。

通过域名反查，追踪定位到一家手机广告平台，该病毒团队是专门从事广告推广，其SDK不仅伪装在正常应用中，而且还提供给第三方。

(二)        产业链

整理“X破坏者”病毒幕后的线索，360互联网安全中心梳理出一套从开发到传播推广的完整产业链。

场景一：伪装正常应用

病毒开发者选取一些常用的应用：清理大师、云朵护眼等应用作为载体，通过某种手段利用某巨头公司的证书签名，来给自己套上安全的外壳，绕过了应用市场的安全检查，最终由各大应用市场下载到用户的手机。

场景二：广告SDK推广

病毒开发者精心设计广告SDK，提供给应用开发者，这类开发者在“毫不知情”的情况下集成了SDK发布了应用，最终进入了用户的手机，广告SDK远程下载Root模块提权，动态加载功能模块实现软件安装、广告推送、恶意扣费，从而获益。

跟据该病毒的特点，粗略把病毒开发公司分为开发组、逆向组、BD组。开发组负责木马的主要功能的开发和制作SDK；逆向组负责各大安全软件、各大主流Root软件、公开病毒、开源CVE的研究，为开发组提供免杀、Root提权等技术支持；BD组负责商务拓展，推广SDK、推广应用等。

图4 病毒产业链

三、        恶意功能

---

（一）恶意扣费

私自订购业务，造成用户话费损失。

（二）静默安装

往系统目录中偷偷安装其他应用，导致用户流量资费消耗，并且影响用户使用体验。

（三）破坏系统

此病毒入侵手机后破坏性极强，不仅删除各种Root工具底层模块，还禁用安全软件，导致手机应用异常崩溃。甚至在获取到Root权限后卸载各种安全软件，以至于其他Root工具很难再得到权限，彻底清除病毒变得十分麻烦。几乎所有主流手机安全软件都会受到影响。详细列表如下表。

四、        影响

---

（一）感染量

从2016年6月份至2017年2月份，“X破坏者”累计感染量已超过57万，平均每日新增感染量2000余个。2017年初360互联网安全中心发现了该病毒的新变种，羊毛党们经过精心的策划，准备在接下来的春节狠狠的“薅羊毛”。

（二）地域分布

从地域分布来看，感染“X破坏者“病毒最多的地区为广东省，感染量占全国感染总量的12.4%；其次为河南省（8.3%）、山东省（7.3%）、河北省（5.9%）、四川省（5.3%）。

下图给出了近半年多来“X破坏者”病毒感染量全国排前十的城市。北京市感染量最多，占全国感染总量的3.5%，其次为广州市（2.4%）、重庆市（2.0%）、成都市（1.8%）、郑州市（1.6%）。

五、        技术分析

---

（一）执行流程图

“X破坏者”病毒大致执行流程图如下。

图8 病毒执行流程图

（二）APK加壳保护

恶意程序母包使用开源的APK加壳方案对主体加密、隐藏保护，防止反编译。

通过反射置换android.app.ActivityThread中的mClassLoader为加载解密出APK的DexClassLoader，由DexClassLoader加载com.md.zt.ac.SecurityApplication恶意主体组件。

（三）获取Root权限

待恶意主体初始化完成之后，远程请求下载szcp.zip以及bom文件。

图11 下载文件

szcp文件中包含有提取工具集libengine.so和ca文件。

接着，bom文件会解密生成boDat和boboLib，boboDat解密成一个随机名称的Jar。

这Jar从代码的结构来看，猜测病毒开发者完全逆向实现了Root精灵的RootSDK。

同时，在该病毒的其它变种中，发现病毒开发者逆向破解了刷机大师的RootSDK。

该病毒使用的提权漏洞和逆向的第三方工具详细如下表。

（四）恶意扣费

通过拦截短信，订购增值服务来获取高额收益。

（五）释放底层模块

病毒获取Root权限成功后，由“i”释放多个核心工作模块，启动守护进程、删除各种安全产品。详细如下表。

（六）卸载安全软件

“X破坏者”最大的特点就是其疯狂的破坏行为。遍历/system/bin和/system/xbin目录删除Root相关文件，并且暴力删除各安全软件数据文件。这种暴力行为造成的后果就是各种与Root相关软件一直崩溃。卸载删除的详细应用列表如下表。

（七）禁用安全软件

禁用安全软件，导致手机应用异常崩溃。除了禁用360手机卫士外，禁用的其他安全软件列表如下表。

六、        查杀

---

“X破坏者”母体APK拥有正常的应用功能，表面上没有任何异常，用户下载时极难察觉到。如果进程中同时发现以下进程名，手机可能已中毒：TService、MService、msm、CService。推荐使用360手机急救箱进行清理http://jijiu.360.cn 。

七、        安全建议

---

1、建议安卓手机用户不要随意开放root权限，作为安卓系统的底层权限，一旦开放root权限就意味着手机大门已敞开。为手机软件使用行方便的同时，也为手机木马行了方便。

2、日常使用手机过程中，谨慎点击软件内的推送广告。来源不明的手机软件、安装包、文件包等不要随意点击下载。

3、同时，手机上网时，对于不明链接、安全性未知的二维码等信息，不要随意点击或扫描，避免其中存在木马病毒危害手机安全。

4、养成良好的手机使用习惯，定期查杀手机木马，避免遭受潜伏在手机中的恶意软件危害。

养成良好的手机使用习惯