学习啦 > 学习电脑 > 电脑安全 > 病毒知识 > install-recovery.sh流氓插件脚本

install-recovery.sh流氓插件脚本

时间: 权威724 分享

install-recovery.sh流氓插件脚本

  你们听过install-recovery.sh流氓插件脚本吗?近期,AVL移动安全团队截获一款会篡改手机启动脚本的流氓插件,该插件一旦被加载运行,首先尝试请求超级用户权限,进而恶意篡改手机启动脚本,释放特定重打包应用(应用商店类)到系统应用目录。下面是学习啦小编整理的一些关于install-recovery.sh流氓插件脚本的相关资料,供你参考。

  install-recovery.sh流氓插件脚本:

  install-recovery.sh流氓插件一、行为及危害

  该插件依靠应用主体运行,被加载启动后会尝试请求超级用户权限

  篡改手机启动脚本,释放特定重打包的应用商店类应用到系统应用目录下

  后台上传设备Rom自带的应用相关信息到远程服务器

  install-recovery.sh流氓插件二、插件结构

  该插件安装后无图标,并伪装成“skype”在后台加载运行。如图1所示:

  图1 插件运行情况

  插件的包结构相对简单,assets目录下包含很多ELF可执行文件和经过加密的资源文件。如图2所示:

  图2 插件包结构

  install-recovery.sh流氓插件三、详细分析

  1、插件被加载运行后,尝试申请超级用户权限

  该插件常见为依赖主体应用直接进入用户设备中,也出现过通过某应用弹出的插件下载提示,由用户自行下载该插件。插件一旦进入用户设备中,将依靠主体应用加载运行,首先会申请超级用户权限。

  2、篡改脚本并释放应用到系统应用目录

  当插件获取超级用户权限后,后台服务QService启动,并在/data/data/com.q.t/目录下生成.f的隐藏目录,将资源文件a,b,c,da,db,dc,dd,de读取后存放在该隐藏目录下,并解密文件43bin和ntf,在.f隐藏目录下生成insqn的脚本。

  创建脚本:

  生成的脚本如下图所示:

  脚本被执行后,将隐藏目录当中的文件替换系统的配置文件,包括apn,install-recovery.sh。

  除此之外,程序运行时,还会后台监控脚本是否执行成功,并将相关的状态信息上传到远程服务器。一旦执行成功,便立即删除插件程序以及插件程序对应的数据目录文件。

  资源文件释放位置对应关系表:

  替换系统启动脚本后,手机会在启动后传入“—auto-daemon”参数以守护进程形式运行update模块,载入正常的启动脚本。而后在系统目录中安装一款名为“应用商店”的应用。

  经过分析发现,“应用商店”重打包了一款知名的市场类应用,如下图所示,与官方版本相比,重打包后的应用在原官方应用基础上增加了com.ally和com.fun这样的包结构。

  在程序清单文件当中也发现重打包应用当中增加了相应的Receiver和Service。

  3、后台上传用户手机Rom相关信息到远程服务器

  在重打包应用增加的com.ally包结构当中,其通过调用native层方法来获取用户设备和Rom内置应用相关信息。

  通过该方法获取的用户信息包含以下两类:

  1)设备相关信息

  包含用户手机IMEI,IMSI,手机品牌,型号,SDK版本,当前应用程序包名,wifi mac地址,网络联网状态。

  2)用户安装的应用信息

  主要是用户安装的应用信息、Rom自带的应用信息,含/system/framwork以及/system/app目录下的应用。

  获取用户应用信息后,通过回调接口将获取的用户隐私信息上传到远程服务器。

  通过分析,发现如下远程服务器:

  xxpl.mehadoop.com

  103.17.42.195

  flashapi.5dong.com.cn

  通过对域名反查发现,这些域名都是通过阿里云注册的,部分域名是由国内做rom推广的厂商所拥有,而部分已失效。

  看过文章“install-recovery.sh流氓插件脚本”的人还看了:

  1.如何远离恶意网站

  2.教你的电脑运行如飞的小技巧

  3.Win8给IE添加Flash插件的方法

  4.内存不能为read或written的解决方法

  5.清除流氓软件的详细步骤

  6.开机反应慢是什么原因

  7.教你如何修复浏览器

  8.如何让网络稳定

  9.QQ空间打不开怎么办 为什么打不开

  10.内存不能为read修复工具

556968