Post by kllei

近期，AVL移動安全團隊在GooglePlay應用市場發現一款名為POPBIRD的遊戲應用（現已下架），一旦安裝，該應用就會立即彈出三只活潑可愛的小鳥圖標，迅速調動用戶啟動該應用的欲望。

圖1應用圖標

該應用打包了惡意提權廣告件PermAd，該應用運行後立即彈出開始介面，在顏色絢麗的開啟介面背後其實暗藏各種流氓性質的惡意行為。具體惡意行為如下：

• 自動下載提權工具，提升應用許可權。
• 開機自啟動。
• 監控相關惡意子包應用，提升惡意子包許可權。
• 上傳用戶系統資訊。
• 惡意子包進行自我更新，推送協力廠商廣告。
• 防止被卸載。

圖2應用開啟介面

一、惡意程式碼整體運行流程

以下介紹惡意提權廣告件PermAd的詳細運行流程。

圖3 PermAd的詳細運行流程

該應用運行時會聯網下載提權應用.perm.apk，.perm.apk被DexClassLoader加載執行後會釋放多個檔案並提升應用許可權。以下列舉被釋放的檔案及其資訊：

被釋放檔案的運行流程如圖4所示。

圖4被釋放檔案的運行流程及作用

二提權模塊執行流程

圖5提權模塊執行流程

1運行後，應用會聯網訪問http://****/RootsdkUpdate/Index，獲取提權應用的最新地址，並下載保存在指定地址。

2 DexClassLoader .perm.apk後反射調用相關方法釋放檔案並提權。

3執行提權回檔命令：

• 寫入命令進啟動檔案install-recovery.sh，達到開機啟動的目的。
• 釋放.dler.apk檔案，更改許可權，靜默安裝應用com.android.service.utc0
• 複製釋放的檔案到相關目錄提升許可權並執行.rt_daemon，進行後臺監聽。

圖6後臺監聽

創建一個線程監聽，每3.6秒監聽行程，若無com.android.service.utc0行程則讀取並執行.exeam檔案裏的am命令啟動com.android.service.utc0

4執行/system/xbin/.rt_bridge寫入am命令到/data/local/.exeam檔案，添加包的MD5到/data/local/.bridge檔案，Socket管道向.rt_daemon發送請求。

三防卸載模塊執行流程

.perm.apk釋放.catr.apk（實際是ELF檔案），運行鎖定相關檔，鎖定檔案後即便卸載應用後也不能删除。使用lsattr指令可以查看該檔案隱藏屬性，相對其他檔案多了ia兩個參數，使之不能被删除：

四釋放的DownLoader子包執行流程

1 .rt_daemon am管道執行com.android.service.utc0/com.example.demo10.WakeActivity

2聯網訪問指定網址以獲得DownLoadr應用最新地址，在測試中發現該DownLoader還在更新。

3自我更新，並釋放/files/.catr.apk，鎖定檔案，防止被删除。

4訪問特定網址獲取廣告清單，並進行廣告推送。

五總結及安全建議

該應用釋放的子包能通過install¬-recovery.sh啟動，在後臺監聽使子包一直處於運行狀態，並通過chattr鎖定自身/data/app中的應用，通過應用管理卸載後依舊存在，開機後通過.rt_daemon使用am命令啟動，達到無法輕易被卸載的目的，只能通過先使用chattr解除許可權再使用rm來完成删除。此外，該應用還會删除su檔案，導致之前Root過的手機都無法獲取Root許可權。

普通用戶很難正常卸載此類惡意應用。囙此，AVL移動安全團隊建議大家在使用新安裝應用前，安裝並開啟手機安全軟件AVL Pro進行全面掃描，避免開啟惡意應用，遠離惡意應用威脅。

AVL移動安全團隊專注於移動互聯網安全技術研究及反病毒引擎研發，提供强大的移動安全解决方案。歡迎關注我們的微信公眾號AVLTeam，我們會定期發佈一些移動安全相關資訊，希望能夠對您有所幫助。轉載請注明來源：http://blog.avlyun.com/？p=2228

文章分享地址：