潜伏的BadMedia木马家族,用户需谨慎下载破解应用

2017-11-16 165284人围观 ,发现 6 个不明物体 网络安全

前言:

近期,腾讯反诈骗实验室和移动安全实验室发现一款伪装成系统应用的恶意木马家族正在持续攻击用户,经过分析研究发现这款被命名为“BadMedia ”的木马家族能够长期保持高活跃主要有几个因素:利用游戏破解等刚需诱导用户安装,利用 CVE-2015-1805等内核漏洞强行ROOT用户设备,并将自身植入到系统目录阻止用户卸载,长期潜伏用户设备进行恶意推广行为。

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

腾讯反诈骗实验室和移动安全实验室提醒广大用户,大量的所谓破解应用都存在或多或少的恶意行为,为了保护你的手机安全建议仅从正规渠道下载应用,如果不慎中招,推荐可以下载腾讯手机管家一键查杀。

潜伏的BadMedia木马家族,用户需谨慎下载破解应用 

一、病毒影响面

4月至6月的感染用户变化趋势,平均日影响上万用户。

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

二、病毒详细分析

1、传播途径,母包为破解游戏类应用,应用安装下载安装media病毒。

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

应用基本信息

软件名 媒体
包名 Com.system.m****
证书 319d72acf5d*******8f2f5a0dea27

通过腾讯反诈骗实验室和移动安全实验室的AI智能聚类功能,我们发现BadMedia木马家族的开发和版本发布有着极强的组织性,从时间轴上看,其在17年4月开始,每半月至1个月时间其更新一次版本,截至目前更新已更新8个版本,期间变更过两次软件名,通常将自己伪装成Android系统应用以骗过用户.

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

 图 BadMedia”版本迭代时间轴

2、BadMedia病毒主要特点:

1)伪装成Android系统文件com.android.media,常驻系统;

2)各功能高度模块化,且功能模块由云端控制下发更新;

3)与其他应用配合,能更新自身,并保证应用进程长期处于活跃状态;

主要运行流程:

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

各模块主要功能分析:

2.1 BadMedia核心模块

1)BadMedia应用从云端获取更新文件,并动态更新

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

动态加载dex代码,更新lib文件和assets文件

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

云端服务器相关URL:
https://www.***jia8.com/api/rts/

https://www.ci*****.com/api/rts/

抓包获取的json配置信息:

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

2)调用native方法开启守护进程,防止应用进程被kill

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

Native监控应用进程状态,若进程被杀死则重启应用服务:

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

2.2  g.apk尝试进行root提权

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

root利用方案

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

2.3  u.apk

1)提权,并更改系统设置,包括设置系统调试状态、允许安装非应用市场应用、不对安装包进行验证等;

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

调用提权子包,获取root shell

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

2)下载live应用,并以启动服务的方式调起它

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

3)将下载的show.apk,media病毒的最新版本植入到Rom内,即/system/priv-app目录下

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

2.4 v.apk

推广应用

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

调用子包进行静默安装

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

安装快捷图标

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

2.5  Android Live应用主要用来配合Badmedia应用,使用am startservice启动media应用

调起媒体应用

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

动态抓取的命令执行:

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

 

3、相关溯源:

根据恶意木马主要访问的两个URL:www.***jia8.comwww.ci****.com,我们进行了相关溯源分析,发现了一家专门做应用破解和汉化的公司可能就是木马的幕后黑手。

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

潜伏的BadMedia木马家族,用户需谨慎下载破解应用

*本文作者:腾讯手机管家;转载请注明来自 FreeBuf.COM

这些评论亮了

发表评论

已有 6 条评论

取消
Loading...
腾讯手机管家

腾讯手机管家是腾讯旗下一款永久免费的手机安全与管理软件。功能包括病毒查杀、骚扰拦截、支付保护、隐私保护、手机防盗等安全防护,此外还支持用户流量监控、垃圾清理、手机加速、手机瘦身、免费WiFi、软件管理、相册管理、来电秀、手机备份、提醒助手等高端智能化功能,不仅是安全专家,更是用户的贴心管家。

24 文章数 0 评论数

特别推荐

关注我们 分享每日精选文章

css.php