记android平台下一次病毒发现之旅

事发时间: 2013.04.27

事发现象: 手机不能待机,自动开启GPRS连接网络

具体分析过程

分析过程1

部分log:

04-26 13:20:56.002 W/System.err(  388): java.lang.Throwable04-26 13:20:56.002 W/System.err(  388):       at android.net.wifi.WifiManager.setWifiEnabled(WifiManager.java:841)04-26 13:20:56.002 W/System.err(  388):       at com.suntu.engine3.engine.ConnectionManagerProxy.setWifiState(ConnectionManagerProxy.java:809)04-26 13:20:56.002 W/System.err(  388):       at com.suntu.engine3.engine.ConnectionManagerProxy.selectApn(ConnectionManagerProxy.java:611)04-26 13:20:56.012 W/System.err(  388):       at com.suntu.engine3.engine.HttpEngineManager.SelectApn(HttpEngineManager.java:115)04-26 13:20:56.012 W/System.err(  388):       at com.suntu.engine3.engine.HttpSocketEngine.run(HttpSocketEngine.java:134)04-26 13:20:56.012 W/System.err(  388):       at java.lang.Thread.run(Thread.java:856)04-26 13:20:56.012 D/WifiStateMachine(  240): setWifiEnabled(false)04-26 13:20:56.012 W/System.err(  240): java.lang.Throwable04-26 13:20:56.012 W/System.err(  240):       at android.net.wifi.WifiStateMachine.setWifiEnabled(WifiStateMachine.java:697)04-26 13:20:56.012 W/System.err(  240):       at com.android.server.WifiService.setWifiEnabled(WifiService.java:565)04-26 13:20:56.012 W/System.err(  240):       at android.net.wifi.IWifiManager$Stub.onTransact(IWifiManager.java:170)

首先反馈是不能待机,dumpsys power查看发现pid 240(搜狗输入法)持有了一个wakelock.

当时也没细想.结合上面的log,想了下应该是搜狗输入法的问题.毕竟报错的pid和持有wakelock的pid都指向了罪魁祸首是它.

log里最后一句显示setWifiEnabled出错,我惯性思维的以为,可能是程序员没有处理好try/catch块吧,申请了wakelock,忘了释放它.

分析过程2

试想既然假定是搜狗的问题,那么移除了搜狗输入法.就不会复现此问题.

事实完全推翻了我的结论.移除搜狗输入法之后,再次复现,并且log指向的是酷我音乐盒.

点再背,不可能两个apk都有这种问题吧,这些apk都是第三方提供给我们的现成货.我开始怀疑是否有病毒.

从com.suntu.engine3.engine入手,在package.list和package.xml都没有他的踪迹.而且是通过Thread启动的.

山穷水复疑无路,柳暗花明又一村

找包名这个线索是断了,既然是病毒导致.总会在进程里留下线索吧.

首先去找搜狗和酷我的map文件.惊喜出现了,都有莫名其妙的so文件.

搜狗

酷我

还有一个很反常的现象是ps里有一个很奇怪的进程.agt这个进程看着就有问题.

很明显,已经被感染了.反编译了酷我.发现mainactivity被人改动了,添加了新的代码.

mainactivity.smali

.method public onCreate(Landroid/os/Bundle;)V    .locals 6    const-string v0, "MainActivity"    const-string v1, "onCreate"    invoke-static {v0, v1}, Lcn/kuwo/framework/e/a;->b(Ljava/lang/String;Ljava/lang/String;)V    invoke-super {p0, p1}, Lcn/kuwo/player/activities/BaseActivity;->onCreate(Landroid/os/Bundle;)V    invoke-static {p0}, Lcn/kuwo/player/MainActivityyb;->aa(Landroid/app/Activity;)V    const/4 v0, 0x1 ......省略部分代码

里面多了一句调用Acinactivityyyb的静态方法aa

aa方法如下

.method public static aa(Landroid/app/Activity;)V    .locals 3    .parameter    .prologue    .line 36    new-instance v0, Landroid/content/Intent;    sget-object v1, Lcn/kuwo/player/MainActivityyb;->recvMsg:Ljava/lang/String;    invoke-direct {v0, v1}, Landroid/content/Intent;-><init>(Ljava/lang/String;)V    .line 37    const-string v1, "act"    const-string v2, "true"    invoke-virtual {v0, v1, v2}, Landroid/content/Intent;->putExtra(Ljava/lang/String;Ljava/lang/String;)Landroid/content/Intent;    .line 38    invoke-virtual {p0}, Landroid/app/Activity;->getApplicationContext()Landroid/content/Context;    move-result-object v1    invoke-virtual {v1, v0}, Landroid/content/Context;->sendBroadcast(Landroid/content/Intent;)V    .line 39    return-void.end method

发了一个广播,并且自己接受了这个广播.

为什么这么肯定是他自己接受了这个广播.Manifest暴露了一切.

<receiver android:name="cn.kuwo.player.MainActivityyb">            <intent-filter android:priority="2147483647">                <action android:name="cn.kuwo.player.krhkocwca" />                <action android:name="android.net.conn.CONNECTIVITY_CHANGE" />                <action android:name="android.provider.Telephony.SMS_RECEIVED" />                <action android:name="android.intent.action.BOOT_COMPLETED" />                <category android:name="android.intent.category.LAUNCHER" />            </intent-filter>        </receiver>

onReceive里没什么好说的主要就是调用了addURL函数.这个函数就是去下载病毒,com.suntu.engine3.engine-就是这货.运行方式是通过DexClassLoader启动,所以在系统里找不到相关痕迹.

至此总结一下,两个被感染的文件都是oncreate被修改,执行了未知代码.这段代码会从网上下载病毒.很明显属于下载者病毒.

一旦你点击被感染的apk.就会下载bin文件和apk&dex文件&so文件

kuwo

sogou

最后反编译dex文件,定位到不能待机的代码

不待机的原因是病毒执行申请wakelock锁的时候没有做好异常处理.

 private void acquireWakeLock()  {    try    {      if (this.wakeLock == null)        this.wakeLock = this.pm.newWakeLock(1, getClass().getCanonicalName());      if (this.wakeLock != null)      {        Engine.engine.getMain().Log("acquireWakeLock");        this.wakeLock.acquire();      }      return;    }    catch (Exception localException)    {      while (true)        Engine.engine.getMain().Log(localException.toString());    }  }

如果产生异常,代码没有在catch里释放这个锁.所以会一直看到宿主进程一直持有

com.suntu.engine3.engine.JpowerManager

这个wakelock,导致手机无法睡眠.

总结

这货居然各种手机杀毒软件都杀不出来,所以不见得我们的手机是多安全的.不要去xx市场下乱下apk玩.搞不好都是有病毒的哦,亲.