XELF病毒分析-秘密花园

来源：互联网发布：绝对值编码器编程实例编辑：程序博客网时间：2024/05/01 08:49

秘密花园

概述母包结构

当我们拿到样本的时候查看内部的代码结构，可以判定这里面被里面插入广告sdk和几个莫名其妙的so以及一些加密的文件，当然我们首先就是需要了解每个文件都是用来干嘛，哪些代码块是恶意插入需要我们重点分析的，还有apk内携带的so文件以及其他文件是用来做什么的都是需要我们能结合apk本身一步步动静结合的去分析。

样本的主要行为，通过我们沙箱日志分析发现，样本主要是通过PopupWindows弹框广告，释放自身携带的加密so，获取系统root权限，检测模拟器，此病毒入侵手机后破坏性极强，不仅删除各种Root工具底层模块，还禁用安全软件，导致手机应用异常崩溃。甚至在获取到Root权限后卸载各种安全软件，以至于其他Root工具很难再得到权限，彻底清除病毒变得十分麻烦。

其中恶意代码结构如下：

eu:被加密的java文件，广告加载代码和弹框关键代码部分;

sk：模拟器检测文件;

frsbr:加密的so文件，也是主要的恶意elf模块

母包中被插入的恶意代码模块：

、

其中母包中恶意代码块需要用到的注册清单如下：

在这份清单中我们可以清楚的看到给类服务广播的启动方式，以及注册的activity和广告商，通过清单中的这些入口我们就可以按图索骥进一步深入了解病毒的具体行为属性。

母包行为解剖

主程序入口：

com.swifty.fillcolor.controller.main.MainActivity

MainActivity启动入口

、

下面我先从java代码部分进行下一步，由启动入口可知SdkInitialize是个突破口。

通过分析.class public Lcom/kjiklzskyc/cn/SdkInitialize;这部分代码可以看出这里是定义恶意程序需要调用到的一些属性和方法。

这里面所有调用的路径方法名等都是被加密了

以上的代码的主要作用主要是定义一些请求的方法参数、用安装的apk信息、推广下载的apk渠道信息、监控用户的安装动作。

这段代码模块中启动了一个重要的service

ExitService.

我们以这几个service为突破口，看下他在清单中注册情况

从清单中我们可以找到PopouWindowActivity下面注册的四个重要service

SuspensionWindow、FloatWindowService、ExitService、ExternalService

从清单中我们还能发现一个重要的广播MyReceiver，静态注册了这个广播的四种启动方式

android.intent.action.PACKAGE_ADDED

android.intent.action.BOOT_COMPLETED

android.net.conn.CONNECTIVITY_CHANGE

android.intent.action.USER_PRESENT

当MyReceiver检测到有新的安装包的时候立即启动广播，一旦安装完成，立马启动推广下载的apk，主要为了为了实现推广应用的安装启动，模拟用户，从而达到获取非法利益。

启动相关的Service：

利用SystemClock每隔1s启动一次ExternalService从而实现在PopupWindowActivity间隔一次的弹框广告：

利用PopouWindow实现广告弹框：

通过四种不同的静态注册，从而启动恶意广告的广播服务实现在PopouWindow推广广告的展示。

android.intent.action.SCREEN_ON

android.intent.action.SCREEN_OFF

android.intent.action.USER_PRESENT

android.net.conn.CONNECTIVITY_CHANGE

其中这些恶意代码注册的关键模块在正常的java代码部分是发现不的，这里我通过调试发现这些主要的恶意行为都在加密的eu文件当中。

通过抓包分析可以发现这里访问的关键网址链接。

部分如下：

从其访问的链接可以分析这里面有三家广告厂商：

移触科技

腾讯广点通

百度网盟

下面我们来重点分析下腾讯广点通和百度网盟。

腾讯广点通：

http://mi.gdt.qq.com/gdt_mview.fcg?posw=600&posh=500&count=3&r=0.7759157740131813&encext=IyIW6l6t9ISKB_ey8p7f2HOVkP-4j_O3F5mlZ45CKqk&datatype=2&encver=1&posid=8090310972044653&adposcount=1&ext=%7B"req"%3A%7B"scs"%3A"000110b3795a"%2C"conn"%3A1%2C"muidtype"%3A1%2C"c_market"%3A"2"%2C"ast"%3A%7B"de"%3A"hammerhead"%2C"is_d"%3Afalse%2C"hw"%3A"hammerhead"%2C"br"%3A"google"%2C"sr"%3A"030801dd09351460"%2C"pr"%3A"hammerhead"%2C"fp"%3A"google%5C%2Fhammerhead%5C%2Fhammerhead%3A4.4.2%5C%2FKOT49H%5C%2F937116%3Auser%5C%2Frelease-keys"%7D%2C"lng"%3A1000000%2C"c_w"%3A360%2C"c_device"%3A"Nexus%205"%2C"c_osver"%3A"4.4.2"%2C"shs"%3Atrue%2C"tmpallpt"%3Atrue%2C"carrier"%3A0%2C"c_pkgname"%3A"com.mimi.tuse"%2C"c_os"%3A"android"%2C"c_h"%3A592%2C"lat"%3A1000000%2C"jsver"%3A"4.1.000"%2C"inline_full_screen"%3A1%2C"c_devicetype"%3A1%2C"m6"%3A"5f27dde10bfa8adadfd122521b0a01ef"%2C"sdkver"%3A"4.8"%2C"m1"%3A"cc7cd2d6ed45226265a21a053645cee9"%2C"m2"%3A"35b9ab5a36f3234dd26db357fd4a0dc1"%2C"m3"%3A"5ca1613620802f678454a7a25da03a30"%2C"c_hl"%3A"zh"%2C"muid"%3A"cc7cd2d6ed45226265a21a053645cee9"%2C"filterappname"%3A%5B%5D%2C"c_mf"%3A"LGE"%2C"location_accuracy"%3A0%2C"postype"%3A2%2C"dcs"%3A1%2C"c_sdfree"%3A12505939968%2C"deep_link_version"%3A1%2C"gdtid"%3A"cc7cd2d6ed45226265a21a053645cee9_1490758026549"%2C"c_ori"%3A0%7D%7D

上面网址解析内容如下：