「九頭蟲」病毒技術分析報告

1、背景介紹

近日，阿里移動安全收到多方用戶反饋，手機中了一種難以清除的病毒。病毒一旦發做，設備將不斷彈出廣告，並自動下載、安裝、啓動惡意應用，最終設備衰竭而死，用戶很難經過常規的卸載手段清除病毒。因爲該病毒有多個版本演變並有起死回生之術，咱們將該病毒命名爲「九頭蟲」。

咱們分析發現，「九頭蟲」病毒利用多家知名root sdk對設備提權，可輕鬆提權上萬總機型，成功提權後得到設備最高權限，隨後向系統分區植入多個惡意app，刪除設備其餘root受權程序、su文件，並替換系統啓動腳本文件，實現「起死回生」同時保證病毒具有root權限，將自身插入某殺軟白名單中，並禁用掉國內多家知名殺軟，導致設備安全防禦功能全線癱瘓。

中毒設備將做爲「九頭蟲」病毒的殭屍設備，天天推送上百萬廣告，其點擊率大概15%（主要是病毒自身的模擬點擊），也就是說天天廣告點擊上10萬次，再加上靜默安裝與欺騙安裝，每成功安裝激活賺取1.5~2元，如此收益不菲！

2、「九頭蟲」傳播途徑與感染數據統計

2.一、傳播途徑

最先咱們截獲到假裝成「中國好聲音」應用的「九頭蟲」病毒，經過排查歷史樣本，咱們發現大量「九頭蟲」變種病毒，其傳播方式包括：假裝成熱門應用、重打包生活服務類、色情誘惑類、系統工具類應用，好比假裝成「中國好聲音」、「清理大師」、「新浪娛樂」等，以及色情應用「幫學姐洗澡」、「性感の嫩模」、「寂寞少婦」等，同時「九頭蟲」的惡意模塊徹底受雲端控制，致使用戶也不清除中毒來源。

↑傳播病毒圖標

2.二、感染數據統計

一、全國地區感染分佈

對2016年初到2016年10月的監測統計數據顯示，「九頭蟲」病毒累計設備感染量高達33萬。從感染地區分佈圖中能夠看出四川、廣東是感染重災區。

二、每個月設備感染趨勢

從每個月設備感染趨勢圖能夠看出，「九頭蟲」病毒爆發週期是4～5個月，在隨後的4～5個月每個月感染數降低，這正好也是病毒變種的一個週期。最近在8月初達到峯值，隨後幾月將是衰減期。

3、深刻分析

「九頭蟲」病毒分爲注入rom病毒和惡意推廣兩個模塊，注入rom病毒是「九頭蟲」家族的最新變種，執行流程圖以下。

3.一、病毒母包

母包的MyApp組件是惡意代碼入口點，完成libOgdfhhiaxn.so加載和assets目錄下xhmf文件解密加載，隨後「九頭蟲」病毒分別進行注入rom病毒和惡意推廣。

3.二、「九頭蟲」注入rom病毒

「九頭蟲」釋放多個家族惡意應用，潛伏在系統應用中，頻繁彈出惡意廣告，嚴重干擾手機正常使用。注入rom病毒過程以下。

執行提權

首先獲取root工具包。libOgfhhixan.so動態加載由assets目錄下的Zvtwk文件釋放的oko.jar。oko.jar子包聯網請求提權工具下載地址，隨後下載並本地解密得到提權工具包cab.zip。

↑請求獲取提早工具包下載地址圖

提權工具包中文件以及功能以下表：

接下來加載執行root sdk既是data.jar文件，成功加載後「九頭蟲」會刪除本地的cab.zip和data.jar文件。

↑動態加載執行data.jar圖

從data.jar代碼邏輯發現，「九頭蟲」病毒做者徹底逆向重寫了root精靈的rootsdk，根據設備型號等信息下載root-exp，其來源http://cdn.shuame.com/files/roots/xxx-id。這樣直接非法利用廠商root方案，可輕鬆對上萬種機型提權。

↑使用root精靈圖

構建「免疫系統

成功提權後，拿到設備至高權限，接下來構建自身「免疫系統」，執行以下操做。

（1）插入某殺軟白名單

解密root工具包中的ql文件，得到將rom病毒寫入某殺毒軟件白名單的sql語句，經過工具包中的qlexec執行sql語句，下圖將rom病毒插入殺軟白名單來躲避監測。

（2）植入惡意app

將root工具包下的惡意app，以及libdataencrypt.so 植入系統目錄，並使用chattr +ia命令使得用戶沒法正常卸載，最後以服務啓動惡意app。注意下圖紅色框中，將rom病毒lol.qv907a.Cqenthyrusxncy.apk備份到/system/etc/rom.dat，該病毒會在su和sud文件的守護下，一直運行在設備rom中。隨後的第5點詳細分析。

（3）刪除設備自己root相關文件

接續執行cl.sh腳本，刪除設備自己root相關文件，保證設備上只有病毒擁有最高權限。

（4）禁用殺軟

執行「pm disable」禁用多家知名殺毒軟件。

pm disable com.qihoo360.mobilesafe
pm disable com.tencent.qqpimsecure
pm disable cn.opda.a.phonoalbumshoushou

（5）守護rom病毒

病毒經過替換系統服務，以至開機運行拷貝到/system/etc/目錄下的守護模塊，這裏病毒替換了debuggerd和install-recovery.sh。這樣深深植入rom的病毒，經過普通的恢復出廠設置，以及進入recovery&wipe data都沒法清除。

3.三、「九頭蟲」惡意推廣

惡意推廣包括應用推廣和廣告彈屏點擊。推廣APP應用是病毒的主要目的，既能夠推廣正規應用賺取安裝費用，也能夠推廣其餘病毒安裝到手機；廣告彈屏也是病毒牟利的一種方式，每成功點擊一次廣告，廣告主會支付推廣費用給黑產。

↑靜默安裝

「九頭蟲」經過解析服務端返回的數據，對包含「silencePackageUrl」字段的應用進行靜默安裝。惡意推廣數據來自http://in[.]stidreamtrip.com/ni.do，每次請求上傳設備信息，包括目前位置、鏈接網絡類型、設備號等。如下是將服務端返回的數據解密，獲取推廣的應用信息。

{"icon":"http://cdn[.]stidreamtrip.com//accurate/niicon//a52e15d0-0353-43a4-a684-d1199f682271.png","imgs":"http://cdn[.]stidreamtrip.com//accurate/niadimg//2e528c28-9d09-4f5c-ad2e-0616f63a5c01.png","silencePackageUrl":[{"packageName":"com.bd.SuperFish","url":"http://cdn[.]stidreamtrip.com/accurate/apk/89f7b2f7-6bd5-49e9-a236-49f4ddc9ab0e.apk"}],"appId":"","silenceDownLoad":1,"sonAppkey":"5761195a67e58ebe4d002eb2(友盟)","alert":1,"appkey":"0","adkind":0,"url":"","intervalTime":120000,"adPlatType":"loveApp","content":"caha123","title":"全屏Banner-caha123-0627","codeId":"","gid":"10000","pname":"","apkFileSize":0,"adType":1,"showNums":10}
{"icon":"http://cdn[.]stidreamtrip.com//","imgs":"http://cdn[.]stidreamtrip.com//","silencePackageUrl":[{"packageName":"com.fors.mpm","url":"http://cdn[.]stidreamtrip.com/accurate/apk/f823e088d9ff4481914c9cbd21700e49.apk"}],"appId":"","silenceDownLoad":1,"sonAppkey":"0","alert":1,"appkey":"0","adkind":0,"url":"","intervalTime":0,"adPlatType":"loveApp","content":"雙週結算（每個月一、16號）","title":"秀色可餐-0830","codeId":"","gid":"10056","pname":"","apkFileSize":0,"adType":1,"showNums":0}
{"icon":"http://cdn[.]stidreamtrip.com//","imgs":"http://cdn[.]stidreamtrip.com//","silencePackageUrl":[{"packageName":"com.letang.game.az","url":"http://cdn[.]stidreamtrip.com/accurate/apk/44915bcf98724663851faa75ab73dff9.apk"}],"appId":"","silenceDownLoad":1,"sonAppkey":"5-3-760","alert":1,"appkey":"0","adkind":0,"url":"","intervalTime":0,"adPlatType":"loveApp","content":"王美陶百度帳號-56cbc86ee0f55a3a5e0026ae(友盟)","title":"全屏Banner-0818-WMT","codeId":"","gid":"10032","pname":"","apkFileSize":0,"adType":1,"showNums":0}

下圖解析「silencePackageUrl」字段信息進行靜默安裝。

根據silencePackageUrl裏的url字段，將apk 下載存放在/sdcard/android/data目錄。在靜默安裝以前會從http://cdn.stidreamtrip[.]com/accurate/loveApp/xiaoaisup下載xiaoaisup文件，xiaoaosup是一個本地庫，經過解密自身數據段還原出提權工具。

xiaoaisup釋放的各文件功能及做用以下表格：

realroot用來解密釋放root-exp，並執行提權。對釋放出root-exp分析發現，「九頭蟲」病毒居然使用root大師的某一方案。

設備成功root後，使用自身釋放的ppm對應用進行靜默安裝。

惡意彈屏廣告

「九頭蟲」病毒集成「廣點通」和「bdssp」，默認以CPC（點擊計費）計費模式，也就是隻要廣告被點擊，廣告主就要支付費用。廣告彈屏形勢包括全屏、橫幅、banner、插屏、信息流、應用牆廣告。病毒每各一分鐘請求廣告數據，並模擬用戶點擊，這樣用戶設備將作爲「九頭蟲」病毒的殭屍設備，不斷爲黑產刷廣告點擊。

4、「九頭蟲」C&C端分析

hxxp://115[.]159.20.127:9009/gamesdk/doroot.jsp
hxxp://rt-10019850[.]file.myqcloud.com/83330905/nocard0908/qv907apwedmmc001.zip
hxxp://cdn[.]shuame.com/files/roots/xxx-id
hxxp://in[.]stidreamtrip.com
hxxp://yxapi[.]youxiaoad.com

前兩條來自國內某雲，用來存放加密的提權工具包，第三條是病毒破解某知名root接口後，直接從root精靈下載root方案，這裏咱們主要分析最後兩條域名。stidreamtrip.com站點用來存放加密root工具包xiaoaisup，以及惡意推廣的數據。相關url以下：

hxxp://cdn[.]stidreamtrip.com/accurate/loveApp/xiaoaisup [xiaoaisup提權工具包]
hxxp://cdn[.]stidreamtrip.com//accurate/niicon/a52e15d0-0353-43a4-a684-d1199f682271.png
hxxp://cdn[.]stidreamtrip.com//accurate/niadimg//2e528c28-9d09-4f5c-ad2e-0616f63a5c01.png
hxxp://cdn[.]stidreamtrip.com/accurate/apk/44915bcf98724663851faa75ab73dff9.apk
hxxp://cdn[.]stidreamtrip.com/accurate/apk/f823e088d9ff4481914c9cbd21700e49.apk
hxxp://cdn[.]stidreamtrip.com/accurate/apk/6f24ea54ad1642189545e0aeee0d202e.apk
hxxp://cdn[.]stidreamtrip.com/accurate/apk/9de7f70625e5416b8a7739db6f64baaf.apk
hxxp://cdn[.]stidreamtrip.com/accurate/apk/25205b91d6484fde961e5a9487346981.apk
hxxp://cdn[.]stidreamtrip.com/accurate/apk/89f7b2f7-6bd5-49e9-a236-49f4ddc9ab0e.apk

經過域名備案查詢發現，stidreamtrip.com是重慶一家廣告投放公司，目前該站點首頁已不能訪問，但存放的惡意文件任可下載。

根據網站備案編號關聯到4個網站，其負責人都是同一個。目前cn-dream.com站點未使用，zpmob.com站點是「重慶xx網絡科技有限公司」主站，stidreamtrip.com站點是非法惡意推廣的控制端，zhangad.com站點是它的廣告平臺。

咱們繼續經過域名whois歷史中涉及的qq郵箱追蹤，下圖假裝成廣告主與公司負責人聊天。

在該公司的廣告平臺上找到一公司客服，下圖與該公司客服對話。「那個已經不外放了」 ，也證明了從9月「九頭蟲」病毒設備感染降低趨勢。

5、安全建議

「九頭蟲」病毒直接非法利用知名廠商root sdk，以至輕鬆入侵上萬種機型，對於root廠商，應嚴格校驗root 請求方，對如此危險的提權代碼應獲得嚴密保護，對於用戶，儘可能使用大廠商設備，及時作設備系統升級；平常使用手機過程當中，謹慎軟件內推送的廣告；來源不明的手機軟件、文件、視頻等不要隨意點擊；按期使用錢盾等安全軟件進行安全掃描。

做者：阿里移動安全，更多安全類技術文章，請訪問阿里聚安全博客