近期安天移动安全和猎豹移动联合捕获到病毒gpSystem,该病毒植入在应用程序private,程序运行后便隐藏图标,进行下载提权相关文件、联网获取数据模拟点击注册google账号、上传用户账号、固件等信息等一系列恶意行为,造成用户资费损耗和隐私泄露风险。以下是针对该病毒的详细分析。

一、样本基本信息

该恶意应用被下载安装后将隐藏图标,下载提权相关文件、私自提权,解密静默安装恶意程序到系统目录,修改多个系统api调用的返回值,联网获取数据模拟点击注册google账号,还会私自下载恶意子包,上传用户账号、固件等信息。

二、恶意行为流程图

三、动态分析

运行后多次申请root权限:

四、样本分析

程序运行,隐藏图标:
获取root权限:
联网下载提权模块:
执行提权方案:
提权后安装apk:
解密子包,启动两个子包服务:
拷贝到系统目录和sdcard:

  子包分析

androidntv(gpSystem): MD5:95EEA5CD39A722507D4781AB3067E5F8 dmrdroid(com.android.dmr): MD5:62D26656061AB328A079FB6FB4E84460 gpSystem:      启动SuService:
hook多个系统函数:
判断是否能够注册google账号:
判断辅助功能是否启动,用来模拟点击注册google账号:
开始hook:
hook多个系统api,修改返回值,以防止影响自动注册:
hook之后启动注册界面:
会先结束其他影响注册的服务,然后am命令启动注册界面:
界面启动之后,RegisterAccessbilityService通过监听包名“com.google.android.gsf.login”触发注册界面启动事件:
判断sdk版本,使用不同的方式注册google账号:
通过辅助功能获取界面上所有控件信息,之后联网获得注册数据:
判断是否是测试版本,测试版本则注册测试账号,不是测试版本则联网获取注册数据:

注册google账号:

通过辅助功能模拟点击:

com.android.dmr:

MMLogManagerService服务中,联网获取下载配置信息:
下载并加载子包:
下载子包:http://www.supportdatainput.top:8080/modules/abroad.zip
加载子包:

abroad.zip分析

拷贝用户账号等数据文件到指定目录,解析数据并上传,上传cc为:http://game.zxcvbnmasdfghjkl.xyz:8080/game/api
获取上传数据:
拷贝用户账号信息等文件到指定目录:
从/data/system/users/0、/data/data/com.google.android.gms、 /data/data/com.google.android.gsf、/data/data/com.android.vending这4个目录拷贝数据库或配置文件,主要从这些文件获取用户账号、authtoken(授权令牌)、gcm、固件、GooglePlay等相关信息:
解析文件格式后,将数据上传服务器:

收集用户账号信息等数据可能用于配合gpSystem注册google账号相关。

相关CC:

五、总结

该病毒首先通过联网获取root方案,下载并执行提权模块,随后释放两个恶意程序,拷贝到系统目录以防被卸载。恶意程序通过辅助功能模拟点击注册google账号,并且通过修改系统函数返回值(忽略按键、锁屏无效等),防止其影响注册流程,以提高注册成功率。同时还会下载恶意代码,收集用户账号、authtoken(授权令牌)、固件、gcm、GooglePlay等信息,可能用于配合自动注册相关。 近年来,各种黑色产业链逐步形成,黑产的攻击手段也越来越专业化,会利用一系列手段保护自己,对此安全厂商应该持续关注并提升对抗能力,为移动安全保驾护航。

更多信息详见公司官网:http://www.avlsec.com

转载请注明来源:http://blog.avlsec.com/?p=5291