install-recovery.sh流氓插件腳本
install-recovery.sh流氓插件腳本
你們聽(tīng)過(guò)install-recovery.sh流氓插件腳本嗎?近期,AVL移動(dòng)安全團(tuán)隊(duì)截獲一款會(huì)篡改手機(jī)啟動(dòng)腳本的流氓插件,該插件一旦被加載運(yùn)行,首先嘗試請(qǐng)求超級(jí)用戶(hù)權(quán)限,進(jìn)而惡意篡改手機(jī)啟動(dòng)腳本,釋放特定重打包應(yīng)用(應(yīng)用商店類(lèi))到系統(tǒng)應(yīng)用目錄。下面是學(xué)習(xí)啦小編整理的一些關(guān)于install-recovery.sh流氓插件腳本的相關(guān)資料,供你參考。
install-recovery.sh流氓插件腳本:
install-recovery.sh流氓插件一、行為及危害
該插件依靠應(yīng)用主體運(yùn)行,被加載啟動(dòng)后會(huì)嘗試請(qǐng)求超級(jí)用戶(hù)權(quán)限
篡改手機(jī)啟動(dòng)腳本,釋放特定重打包的應(yīng)用商店類(lèi)應(yīng)用到系統(tǒng)應(yīng)用目錄下
后臺(tái)上傳設(shè)備Rom自帶的應(yīng)用相關(guān)信息到遠(yuǎn)程服務(wù)器
install-recovery.sh流氓插件二、插件結(jié)構(gòu)
該插件安裝后無(wú)圖標(biāo),并偽裝成“skype”在后臺(tái)加載運(yùn)行。如圖1所示:
圖1 插件運(yùn)行情況
插件的包結(jié)構(gòu)相對(duì)簡(jiǎn)單,assets目錄下包含很多ELF可執(zhí)行文件和經(jīng)過(guò)加密的資源文件。如圖2所示:
圖2 插件包結(jié)構(gòu)
install-recovery.sh流氓插件三、詳細(xì)分析
1、插件被加載運(yùn)行后,嘗試申請(qǐng)超級(jí)用戶(hù)權(quán)限
該插件常見(jiàn)為依賴(lài)主體應(yīng)用直接進(jìn)入用戶(hù)設(shè)備中,也出現(xiàn)過(guò)通過(guò)某應(yīng)用彈出的插件下載提示,由用戶(hù)自行下載該插件。插件一旦進(jìn)入用戶(hù)設(shè)備中,將依靠主體應(yīng)用加載運(yùn)行,首先會(huì)申請(qǐng)超級(jí)用戶(hù)權(quán)限。
2、篡改腳本并釋放應(yīng)用到系統(tǒng)應(yīng)用目錄
當(dāng)插件獲取超級(jí)用戶(hù)權(quán)限后,后臺(tái)服務(wù)QService啟動(dòng),并在/data/data/com.q.t/目錄下生成.f的隱藏目錄,將資源文件a,b,c,da,db,dc,dd,de讀取后存放在該隱藏目錄下,并解密文件43bin和ntf,在.f隱藏目錄下生成insqn的腳本。
創(chuàng)建腳本:
生成的腳本如下圖所示:
腳本被執(zhí)行后,將隱藏目錄當(dāng)中的文件替換系統(tǒng)的配置文件,包括apn,install-recovery.sh。
除此之外,程序運(yùn)行時(shí),還會(huì)后臺(tái)監(jiān)控腳本是否執(zhí)行成功,并將相關(guān)的狀態(tài)信息上傳到遠(yuǎn)程服務(wù)器。一旦執(zhí)行成功,便立即刪除插件程序以及插件程序?qū)?yīng)的數(shù)據(jù)目錄文件。
資源文件釋放位置對(duì)應(yīng)關(guān)系表:
替換系統(tǒng)啟動(dòng)腳本后,手機(jī)會(huì)在啟動(dòng)后傳入“—auto-daemon”參數(shù)以守護(hù)進(jìn)程形式運(yùn)行update模塊,載入正常的啟動(dòng)腳本。而后在系統(tǒng)目錄中安裝一款名為“應(yīng)用商店”的應(yīng)用。
經(jīng)過(guò)分析發(fā)現(xiàn),“應(yīng)用商店”重打包了一款知名的市場(chǎng)類(lèi)應(yīng)用,如下圖所示,與官方版本相比,重打包后的應(yīng)用在原官方應(yīng)用基礎(chǔ)上增加了com.ally和com.fun這樣的包結(jié)構(gòu)。
在程序清單文件當(dāng)中也發(fā)現(xiàn)重打包應(yīng)用當(dāng)中增加了相應(yīng)的Receiver和Service。
3、后臺(tái)上傳用戶(hù)手機(jī)Rom相關(guān)信息到遠(yuǎn)程服務(wù)器
在重打包應(yīng)用增加的com.ally包結(jié)構(gòu)當(dāng)中,其通過(guò)調(diào)用native層方法來(lái)獲取用戶(hù)設(shè)備和Rom內(nèi)置應(yīng)用相關(guān)信息。
通過(guò)該方法獲取的用戶(hù)信息包含以下兩類(lèi):
1)設(shè)備相關(guān)信息
包含用戶(hù)手機(jī)IMEI,IMSI,手機(jī)品牌,型號(hào),SDK版本,當(dāng)前應(yīng)用程序包名,wifi mac地址,網(wǎng)絡(luò)聯(lián)網(wǎng)狀態(tài)。
2)用戶(hù)安裝的應(yīng)用信息
主要是用戶(hù)安裝的應(yīng)用信息、Rom自帶的應(yīng)用信息,含/system/framwork以及/system/app目錄下的應(yīng)用。
獲取用戶(hù)應(yīng)用信息后,通過(guò)回調(diào)接口將獲取的用戶(hù)隱私信息上傳到遠(yuǎn)程服務(wù)器。
通過(guò)分析,發(fā)現(xiàn)如下遠(yuǎn)程服務(wù)器:
xxpl.mehadoop.com
103.17.42.195
flashapi.5dong.com.cn
通過(guò)對(duì)域名反查發(fā)現(xiàn),這些域名都是通過(guò)阿里云注冊(cè)的,部分域名是由國(guó)內(nèi)做rom推廣的廠(chǎng)商所擁有,而部分已失效。
看過(guò)文章“install-recovery.sh流氓插件腳本”的人還看了:
6.開(kāi)機(jī)反應(yīng)慢是什么原因