报告｜关于“Dvmap”安卓恶意软件分析报告

6月8日下午，卡巴斯基发布Dvmap手机恶意软件分析报告。安天移动安全分析团队连夜进行紧急响应，初步完成移动恶意样本分析与移动威胁情报分析，并于6月9日上午发布报告，报告全文如下。2017年6月8日下午，国际知名反病毒厂...

2017年6月8日下午，国际知名反病毒厂商卡巴斯基（Kaspersky）发布名为《Dvmap: the first Android malware with code injection》（《Dvmap：第一种具备代码注入能力的安卓恶意软件》）的分析报告。由于该报告所涉及恶意样本为第一种对Android系统平台运行库进行恶意代码注入的恶意软件，且在报告中提及该恶意软件所包含的“.root_sh”脚本文件中存在中文注释，这引起安天移动安全分析团队高度重视，当即组织专业人员对该报告中所涉及恶意软件样本进行紧急分析。

基于国际领先的恶意样本静态分析与动态养殖技术能力，以及强大的移动安全大数据能力，安天移动安全团队对卡巴斯基原报告的解读以及此次恶意软件时间的分析分成移动恶意样本分析与移动威胁情报分析两个方向同时进行。

2.1.1恶意样本植入基本信息分析

2.1.2恶意样本分析

恶意样本文件com.colourblock.flood.apk伪装为一个小游戏，运行界面如下图：

该apk本身并不显性表现恶意代码与行为，但会根据植入终端系统版本、cpu类型等信息解密其内嵌的恶意文件“Game*.res"。其代码如下：

这批内嵌恶意文件作用如下:

代码解密后会在/data/data/com.colourblock.flood/TestCache/路径释放恶意程序 ，其代码如下：

最终释放的文件如下图(32位与64位文件结构基本一致）：

解密后分析恶意文件信息汇总如下：

中间文件汇总信息如下表：

com.qualcmm.timeservices.apk为最终被植入的远控恶意载荷apk，从命名上分析，该恶意载荷试图伪装为高通的时间服务程序，其主要作用为与远控服务器通信并执行远控任务。

通信服务器url通过拼接而成，访问url如下:

http://d3pritf0m3bku5.cloudfront.net/android/event.php?id=%s&xc=%s&rtsid=%s&v=2&type=2&tm=%d

TimeServices与服务器通信会执行远控任务、下载文件并执行，但服务器已失活无法获取到下载的文件。

与服务器通信后在/data/data/com.qualcmm.timeservices/shared_prefs/TaskList.xml生成任务列表。

2.1.2.1提权文件部分分析

“.root.sh”脚本用于执行提权，并最终植入远控恶意子包载荷，其中文部分主要位于脚本开头的注释，并不直接提供恶意软件功能。

脚本最后完成安装后，进一步执行恶意远控子包com.qualcmm.timeservices ，代码如下图：

另外，还应注意到在恶意样本的多个bin文件里均出现“kinguser.apk”信息，可以推测该恶意样本使用了中国开发者所开发的kingroot工具的exp程序用于提权。信息示例如下图所示：

2.1.2.2恶意载荷部分分析

入口程序start，获取设备信息，会根据不同系统版本选择植入恶意代码到系统/system/lib/libandroid_runtime.so的nativeForkAndSpecialize方法（Android>=5.0)，或/system/lib/libdvm.so的_Z30dvmHeapSourceStartupBeforeForkv方法(Android>=4.4)，均为与Dalvik和ART运行时环境相关的运行库。

同时会用myip替换原始的/system/bin/ip，并替换/system/build.pro文件。

要注意到，myip程序无原始ip文件功能，其作用主要用于修改恶意程序的策略等信息，设置com.qualcmm.timeservices.apk应用为设备管理器。

另外，还发现该恶意代码开发者有一定的反侦察自我保护能力，对恶意样本实施了部分保护措施，如隐匿apk生成时间，在生成apk时修改系统本地时间，导致解包apk文件获取到的生成时间为1979年。

但通过解压toy这个gzip包，仍然可以获取到postroot.sh的真实制作时间为2017/4/18，进而为后续的移动威胁情报分析提供必要的真实数据依据。

（编辑：186手机网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!