一个携带恶意ELF的样本分析

 1.样本的主要行为

• 样本启动后会向系统目录下面释放一个被加密的ELF文件，母包会联网下载广告图片，推送弹框广告；
• SK文件检测模拟器和虚拟机环境，干扰沙箱检测apk文件;
• 释放的ELF文件会获取系统权限，破坏卸载其他root工具的正常使用，导致恶意的ELF文件无法被删除；
• ELF文件同时会从远端获取指令，静默下载安装其他其他恶意子包，且安装的系统目录下面导致无法卸载；
• 恶意子包进一步获取从远端获取指令静默下载安装其他恶意子包； 恶意子包的行为静默安装卸载，获取用户安装的文件信息并上传到远端服务器；
• 同时恶意的ELF文件会获取用户手机类的杀软信息伪造杀软更新或者系统更新，进而更近一步诱导用户去点击安装已经下载的应用；

---

 2.病毒行为流程图

• 整个母包子包和恶意ELF行为流程如下