天创培训:您身边的信息安全培训专家!
技术中心
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计

前言
“明修栈道,暗度陈仓”的典故许多人都听说过,该典故出自楚汉争霸时期,刘邦意图进入关中,需要攻下关中咽喉之地——陈仓。韩信献出一计:表面上浩浩荡荡地修复通往陈仓的栈道以迷惑陈仓守将,暗地里派兵从小道偷袭陈仓。最终刘邦采用此计一举夺取关中之地,为后续争霸天下铺路。
通过表面的行动迷惑敌人,隐藏自己的攻击路线,暗地里实施真正的攻击,这一直是战争中的常用手法。如今这一手法却被恶意开发者学了去,在病毒中使用该手法迷惑感染用户,攻击用户手机于无形之中。
近期,安天AVL移动安全和猎豹移动安全实验室捕获一种病毒程序” Camouflage”,该病毒正是利用暗度陈仓之计攻击用户手机:根据远程控制指令弹出锁屏界面,强制锁定用户手机屏幕,锁屏界面伪装成内存清理界面以迷惑用户;实际在在锁屏期间,该病毒会私自拨打扣费电话、发送扣费短信并删除通话、短信记录,在用户毫不知情的情况下使其承受资费损失。
除此之外,该病毒还会联网下载恶意子包,利用子包联网获取多种root工具对用户手机提权,一旦提权成功立即删除并替换系统root工具,使自身成为手机中唯一具备root权限的应用。与此同时,该病毒通过联网获取相关推送数据,向用户手机推送广告,私自下载同类恶意应用并安装运行,严重影响用户手机使用体验。为防止自身被卸载,该病毒会监控手机中正在运行的应用包名,如果与指定杀毒软件的包名重合,则立即卸载该应用。


恶意程序运行流程图
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
病毒传播途径和感染数据
传播途径
通过分析大量Camouflage病毒家族样本,我们发现该类病毒主要通过重打包成游戏类、休闲类应用进行传播,部分应用名称如下图所示。
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
用户感染数据
在2016年10月1日至12月1日期间, 该病毒累计感染518,311次,其日均感染事件数如下图所示:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
统计该病毒的感染区域信息,我们发现感染情况最严重的是广东省,其次是四川省、北京市:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
详细分析
推送广告和其他同类恶意应用
该病毒运行时在本地解密url和网址后缀并拼接,以获取广告和其他恶意应用推送数据的下载地址。
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
网址后缀及其对应功能如下表所示:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
广告数据:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
推送的应用数据:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
该病毒会不断获取推送信息和下载应用,并将这些文件保存在SD卡指定目录下。
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
在获取推送信息后,该病毒会定时以广告弹窗、通知栏提示、安装快捷方式和提示用户安装的方式进行广告推送。
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
推送的应用被安装后会通过am命令启动:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
联网下载恶意子包
该病毒在推送广告和恶意应用的同时,本地解密URL后联网获取子包相关的数据和下载地址。
联网获取的恶意数据:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
解密后数据如下:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
该病毒私自下载恶意子包文件并将其保存到SD卡/.w/目录下(手机中文件夹名前带“.”的为隐藏文件夹,可以使用shell命令“ls -a”查看),文件名称为119.tmp,解密后即得到子包文件,最后利用反射调用子包的MS服务运行。

当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
私自root提权
恶意子包运行时会联网获取多种root方案和root工具的下载地址并下载,私自对用户手机进行提权。攻击者通过尝试多种root方案和工具最终达到root用户手机的恶意目的。
联网获取的恶意数据:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
解密后的数据为:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
下载的文件说明:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
Testcomn.zip文件解压后里面包含多个文件,文件名与功能如下:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
替换系统文件
恶意子包在成功提权后,通过postsh脚本命令删除系统原本的权限管理文件,并将自己的权限管理文件以及启动脚本推送到指定目录下,导致用户无法获取root权限。
删除系统原本的权限管理文件:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
复制手机自身的权限管理文件到系统目录中:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
在启动脚本中以守护进程的形式启动指定目录下的提权文件:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
在获取Root权限后,该病毒还会将子包推送到系统目录下,导致用户即使成功卸载该病毒主程序,也会继续受到该病毒恶意行为的影响。
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
私自扣费
恶意子包在运行时,该病毒会联网获取扣费指令信息并下载锁屏图片,强制置顶锁屏动图对用户手机进行锁屏,在锁屏时后台私自执行拨打扣费电话、发送扣费短信等恶意行为。在发送短信和拨打电话后,该病毒会将相关短信、通话记录删除,使用户完全无法感知资费消耗。联网获取的扣费指令信息:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
对扣费指令信息进行解密后,解密信息如下:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
该病毒伪装成清理内存的界面,对用户手机进行锁屏:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
对用户手机锁屏后,该病毒会私自在后台发送扣费短信:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
监听用户接收的回执短信并删除相关的短信记录:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
用户手机被锁屏后私自拨打扣费的sp号码:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
监听通话状态,解锁屏幕时结束通话并删除通话记录:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计

卸载指定程序和杀毒软件
恶意子包在运行时会根据指定包名列表–UPKEY中的包名与正在运行的程序对比,若包名相同则将其禁用,后续通过命令直接卸载该应用。包名列表中包含了与该病毒相似的恶意应用,联想到该病毒下载并安装其他恶意应用的行为,我们合理推测这部分恶意应用就是该病毒下载的应用,在完成推广行为或恶意行为之后进行卸载。此外我们在该病毒的代码中也发现了许多知名杀软的包名,该病毒一旦检测到这些杀毒软件正在运行,会立即禁用并卸载,以逃避杀毒软件的查杀。
UPKEY中的包名列表:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
病毒代码中的包名列表:
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
下载相关文件和数据
在执行恶意行为的过程中,该恶意程序会下载大量文件和数据,以达到执行恶意行为的目的。
当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计
总结
Camouflage病毒通过重打包游戏类、休闲类应用进行传播,从感染情况来看,这种伪装手段带来了惊人的传播量。通过分析发现,该病毒主程序本身代码恶意性不强,但是在进入感染手机后通过解密、拼接URL的形式下载恶意子包、推广数据以执行其主要恶意攻击行为,行为方式非常隐蔽。另外,该病毒以监控运行程序的方式对手机中的杀毒软件进行卸载,以此逃脱杀毒软件的查杀。
为成功root手机,该病毒会下载多种root方案和工具对手机进行提权,并替换系统的提权文件,使得自身成为手机中唯一具有root权限的应用,在一定程度上避免自身被卸载,同时为后续的恶意扣费的行为做好铺垫。
该病毒在执行私自恶意扣费行为时,通过置顶一个内存清理的页面来欺骗用户,并在扣费完成之后,删除对应的短信、电话记录,使用户在毫无感知的情况下蒙受较大的资费损耗。
安全建议
针对Camouflage系列病毒,AVL移动反病毒引擎合作方产品和猎豹专杀工具已经实现全面查杀。天创红客训练营提醒您:
请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;
当发现手机中突然出现不知来源广告或页面时,请立即下载安全软件进行查杀;
建议使用手机安全软件,并保持定期扫描的良好习惯。