原文来自:http://research.netqin.com/?p=112/
危害/破坏等级:高
威胁综述:
由Dr. Xuxian Jiang负责领导的网秦安全研究中心团队在好几个Android Market发现了一个新的木马病毒,目前针对中国的Android用户。我们将这个木马命名为DroidCoupon,这是一个重新包装的优惠券应用程序,向用户提供基于位置的优惠券菜单。不仅如此,它在暗地里偷偷地启动恶意Payload。
具体来说,DroidCoupon自动获取那些易受感染的移动设备的root权限(使用了著名的“RageAgainstTheCage”获取root权限工具),然后在没有请求用户权限的情况下,安装并且运行设备上的应用程序、卸载其他安装包。
HOW IT WORKS
受感染的应用程序中有正式版本的优惠券程序,它们使用相同的名称但是在第三方市场上发布--这是期盼用户的惯用伎俩。到目前为止,网秦研究小组已经确定了一个受感染的应用程序,称为“cn.buding.coupon”。
1.受感染的应用程序注册数量巨大的hooks用以启动恶意软件的主服务。当应用程序开始运行或者是许多的系统事件(如设备启动)发生时,将会激活这些hooks 。
2.一旦被启动,恶意软件同远程的C&C服务器(http://a.xxxxxxx-inc.net:9000)通信,并向服务器提供设备的IMEI和IMSI。
3.DroidCoupon从服务器接收指令,也许是下载并安装附加的软件到设备上,也许是从设备中移除其他软件包。
DroidCoupon持有一个跟踪设备状态的SQLite数据库。这个数据库包括将要安装和删除的软件包的记录,并且通过监听(subscribing)android.intent.action.PACKAGE_ADDED和android.intent.action.PACKAGE_REMOVED事件来保持同步。每一个在设备上已经安装或者删除的软件包信息也会被记录下来,尽管这些信息好像没有从设备中泄漏出去(在我们所遇到的样品里)。
权限攻击细节
DroidCoupon使用了一种流行的权限漏洞-”RageAgainstTheCage”-,在用户不知情或没有意识到时候安装、移除软件包。这一漏洞发起在易受影响的设备上,对Android2.2或更早版本很有效果。
为了掩盖其性质,DroidCoupon运用了很多种技术手段。例如,“RageAgainstTheCage”的攻击代码伪装成一个图片,并根据需要解压。此外,该病毒将可疑的字符串伪装成一组数字。这些字符场包括在获取根权限时所用到的命令行调用(上图所示),以及远程C&C服务器和其他一些的URLs。
运行加载
一旦DroidCoupon安装一个软件包,它会被病毒调用。软件包无论是作为一个用户可见的activity还是一个后台服务,安装命令记录都包括了如何启动安装软件的数据。
Tips to Protect Yourself
DroidCoupon contains a root exploit, making it a very serious threat to mobile users. If you’re already using NetQin Mobile Security, you’re automatically protected from this malware. If you’re not using mobile security, we strongly recommend that you follow a few basic security precautions to reduce your risk:
- Exercise caution when you download apps. For example, only use reputable apps markets; check that the app has good ratings and third-party reviews, and review the developer’s information.
- Before you install an app, carefully review the “permissions” and make sure you’re comfortable with the data they’ll be accessing.
- Watch out for unusual or suspicious behavior on your mobile devices, such as unauthorized charges to your phone bill, text messages from unknown sources, and decreased battery life.
- Download up-to-date mobile security software on your mobile device, such asNetQin’s Mobile Security, which scans your apps for malware and helps you locate a lost or stolen device.