AVL移動(dòng)安全團(tuán)隊(duì)近日聯(lián)合LBE發(fā)現(xiàn)一款內(nèi)置于手機(jī)ROM的惡意代碼模塊。由于該惡意代碼作者將此惡意模塊運(yùn)行釋放的模塊稱為“Cake”，所以我們將其命名為“PoisonCake(毒蛋糕)”。

在分析過程中，我們還發(fā)現(xiàn)該惡意代碼中存在明顯的惡意代碼作者身份標(biāo)識(shí)tjj，ruanxiaozhen，并且其最后編譯時(shí)間為2014年8月26日10點(diǎn)20分。

該惡意模塊惡意行為特點(diǎn)如下：

PoisonCake可以單獨(dú)運(yùn)行，解密釋放相關(guān)主體功能模塊，在后臺(tái)監(jiān)控自身進(jìn)程并執(zhí)行以下惡意行為：

1. 注入Phone進(jìn)程，攔截短信和發(fā)送短信。

2. 實(shí)現(xiàn)短信和WAP扣費(fèi)。

3. 竊取手機(jī)信息，并上傳至遠(yuǎn)程服務(wù)器。

4. 后臺(tái)聯(lián)網(wǎng)下載文件。

5. 能夠進(jìn)行自我更新。

經(jīng)分析，我們發(fā)現(xiàn)該惡意模塊的惡意行為與“長(zhǎng)老木馬三代”較為相似，但是在實(shí)現(xiàn)方式上有較大差異。下面將對(duì)惡意模塊PoisonCake進(jìn)行詳細(xì)的分析。

一、PoisonCake運(yùn)行機(jī)制

PoisonCake運(yùn)行時(shí)，會(huì)將自身移植到一個(gè)隱藏目錄/data/.3q下，并在后臺(tái)監(jiān)控自身進(jìn)程運(yùn)行狀態(tài)，防止自身進(jìn)程被終止。

同時(shí)它在執(zhí)行過程中會(huì)創(chuàng)建多個(gè)目錄和文件，主要有:

/data/.3q/dm

/data/usr(目錄)

/data/usr/dalvik-cache(目錄)

/data/usr/plugins(目錄)

/data/.l1

/data/.l6

/data/.l9

/mnt/sdcard/sysv/lv

/mnt/sdcard/sysv/lg

PoisonCake的主體模塊分為reactore.dex.jar核心框架和8個(gè)插件模塊，其中插件模塊主要提供了惡意扣費(fèi)、聯(lián)網(wǎng)上傳下載、獲取手機(jī)信息等功能，并且能夠注入系統(tǒng)Phone進(jìn)程，執(zhí)行短信的監(jiān)聽和發(fā)送，以及聯(lián)網(wǎng)控制。

其整體運(yùn)行框架如下所示：

二、dm模塊

dm模塊是PoisonCake的運(yùn)行核心，主要完成惡意代碼的初始化，惡意模塊reactor.dex.jar的釋放和運(yùn)行，并后臺(tái)監(jiān)控自身進(jìn)程是否存在，同時(shí)還將關(guān)鍵的字符串信息進(jìn)行加密。

1. 惡意代碼初始化

dm模塊接受“–setup”參數(shù)完成初始化行為：

1)解密關(guān)鍵的字符串信息為字符串?dāng)?shù)組。

2)判斷/data/.dmtjjexit是否存在，若存在，則進(jìn)程退出。

3)設(shè)置進(jìn)程環(huán)境變量，并將進(jìn)程名稱改為jworker/0I:2H:1J。

4)將自身拷貝到/data/.3q/dm，并創(chuàng)建/data/usr目錄，然后刪除自身。

5)fork自身并退出，子進(jìn)程執(zhí)行/data/.3q/dm，由其完成余下工作。

2. 后臺(tái)監(jiān)控

dm模塊采用了文件鎖和線程的方式，能持續(xù)監(jiān)控自身進(jìn)程保持后臺(tái)運(yùn)行。dm運(yùn)行時(shí)后臺(tái)有兩個(gè)進(jìn)程，如下圖所示。

創(chuàng)建子線程，不斷循環(huán)創(chuàng)建自身子進(jìn)程的行為，并且利用文件鎖，保證建立的子進(jìn)程在父進(jìn)程存在的時(shí)候阻塞：

當(dāng)kill掉父進(jìn)程或子進(jìn)程中任意一個(gè)時(shí)，其會(huì)再創(chuàng)建一個(gè)新的進(jìn)程。

3. reactor.dex.jar解密釋放和運(yùn)行

最后dm進(jìn)程會(huì)從自身文件中解密釋放reactor.dex.jar至/data/usr：

dm隨后將釋放的reactore.dex.jar加載運(yùn)行，其利用libdvm.so中的JNI_CreateJavaVM運(yùn)行jar，其參數(shù)列表為

–Djava.class.path=/data/usr/reactore.dex.jar-Djava.compiler=NONE -verbose:jni

然后注冊(cè)native函數(shù)getGirls，最后執(zhí)行com/tj/Main的main方法。

4. getGirls方法

dm還同時(shí)為reactore.dex.jar提供native方法實(shí)現(xiàn)，其接受兩個(gè)參數(shù)，作用為解密指定jar文件到指定路徑。

三、reactore.dex.jar模塊

reactore.dex.jar是由一個(gè)負(fù)責(zé)初始化環(huán)境、循環(huán)遍歷執(zhí)行事件和命令的框架模塊和數(shù)個(gè)插件模塊組成，其將功能模塊實(shí)現(xiàn)分成四個(gè)主要類別：

1)基礎(chǔ)設(shè)施Infrastructor。

2)業(yè)務(wù)倉庫Repository。

3)服務(wù)Service，負(fù)責(zé)后臺(tái)執(zhí)行相關(guān)功能。

4)組件Component。

其整體執(zhí)行邏輯流程如下圖：

四、插件模塊

reactore.dex.jar內(nèi)置默認(rèn)了8個(gè)插件模塊，每個(gè)插件分別執(zhí)行不同的行為：

表1 插件名稱及其作用

以下對(duì)重點(diǎn)的插件模塊分別進(jìn)行分析。

1)bean模塊

bean模塊主要完成對(duì)phone進(jìn)程的注入，監(jiān)聽本地10023端口，獲取手機(jī)號(hào)碼、imsi、imei、apn、聯(lián)網(wǎng)等信息，并實(shí)現(xiàn)短信發(fā)送與攔截、聯(lián)網(wǎng)方式的控制。

其首先釋放可執(zhí)行模塊whitebean和待注入的libblackbean.so、redbean.dex.jar，然后依次執(zhí)行以下命令完成注入：

a. whitebean –check libblackbean.so

檢測(cè)運(yùn)行環(huán)境，這里主要檢查android::AndroidRuntime::mJavaVM和android::AndroidRuntime::getRuntime的獲取。

b. whitebean com.android.phonelibblackbean.so readbean.dex.jar cache Release /data/usr/server.log

其將libblackbean.so和readbean.dex.jar注入到phone進(jìn)程中，并執(zhí)行com.android.phone.os.Program類。

完成后刪除自身。

在注入完成后，會(huì)監(jiān)聽10023端口接受請(qǐng)求，此時(shí)由于具備Phone進(jìn)程權(quán)限，所以可以進(jìn)行短信攔截發(fā)送，APN網(wǎng)絡(luò)管理及獲取手機(jī)號(hào)碼、數(shù)據(jù)連接等相關(guān)信息。

2)honeybee模塊

honeybee模塊主要會(huì)記錄運(yùn)行日志信息，以AES加密形式存放至/data/usr/honey文件，并且上傳至遠(yuǎn)程服務(wù)器http://slasty.hada1billi.info/honeycomb/ums/postEvent。

honey文件的解密結(jié)果如下所示：

3)sun模塊

sun模塊主要提供網(wǎng)絡(luò)連接功能，并與遠(yuǎn)程服務(wù)器建立Heartbeat連接，其連接url為http://ubaj.tndmnsha.com/throne。

五、總結(jié)

PoisonCake是一個(gè)非常完善的后門程序，其實(shí)現(xiàn)具備良好的架構(gòu)特點(diǎn)，并且易于擴(kuò)展，其在運(yùn)行過程中會(huì)迅速刪除自身釋放的模塊，所有在手機(jī)上存放的文件均為加密形態(tài)。其執(zhí)行較為隱蔽，并且難以被發(fā)現(xiàn)和查殺。

AVL移動(dòng)安全團(tuán)隊(duì)分析師指出，用戶可以執(zhí)行"ps dm"命令查看是否存在惡意代碼進(jìn)程，或者檢查是否存在/data/.3q/dm、/data/usr目錄來判斷是否感染PoisonCake木馬。同時(shí)用戶還可以通過下載PoisonCake專殺工具進(jìn)行檢測(cè)和查殺該木馬。

由AVL移動(dòng)安全團(tuán)隊(duì)推出PoisonCake專殺工具新鮮出爐啦

工具下載地址：https://update.avlyun.com/AvlPro/PoisonCakeKiller.apk