首页 > 代码库 > “关机窃听”-- 病毒分析报告

“关机窃听”-- 病毒分析报告

一、 简介

在今年10月份首届GeekPwn大赛上,来自KeenTeam的高手现场演示了Android手机在关机状态下被黑客通过听筒进行窃听的全过程。近日,百度安全实验室发现一款“关机窃听”病毒。该病毒通过Hook系统shutdown方法实现关机拦截,当用户关机时弹出自定义黑色界面,使手机处于“假关机”状态;后台窃取用户短信、联系人、通话记录、位置信息、通话录音,上传到服务器。

 

技术分享

图1

 

二、 恶意行为

 

技术分享

图2 流程图

 
 
该病毒关机窃听具体运行流程如下:

 

1、 请求Root管理员权限,获取管理员权限后,拷贝以下附带文件到系统目录
injector:完成进程注入。
libhook.so:调用ksremote.jar恶意代码
libhookjava.so:动态加载ksremote.jar
libshutdown.so:hook系统关机请求
ksremote.jar:hook系统关键服务,”假关机”界面伪装。

 
2、 调用injector可执行文件,将libhook.so、libhookjava.so、libshutdown.so文件分别注入到
system_ server系统服务进程。

 
3、在system_server进程调用libhookjava.so动态加载恶意子包ksremote.jar。

 
4、在system_server进程调用libshutdown.so完成关机HOOK;

 
5、在system_server进程调用libhook.so, libhook.so调用ksremote.jar中的相关方法 RSDServerImpl.hkshutdownmythod() 完成系统服务HOOK。

 
三、 详细分析

 

(1)、进程注入:调用injector可执行文件,将so文件注入到系统进程,

1、 请求Root管理员权限,获取管理员权限后,将raw包中的恶意文件拷贝到系统不同目录下;复制完成后,调用injector将so文件注入系统进程

技术分享

图3

 
2、 运行injector将libhookjava.so和libhook.so文件注入system_sever系统进程;
其中,libhookjava.so提供hook_entry_java方法,libhook.so提供hook_entry方法和外部通信,主要是用来动态加载恶意文件ksremote.jar和类RSDServerImpl,并执行相关方法。

技术分享

图4

 
(2)、so和jar文件的恶意行为:hook系统Binder并替换成指定Binder;Hook系统shutdown方法,制造“假关机”手机黑屏状态

1、 libhookjava.so将ksremote.jar子包注入system_sever进程,DexClassLoader动态加载子包中的类com.sd.hk.impl. RSDServerImpl

技术分享

图5

 
2、 libhook.so调用同一进程中的ksremote.jar,DexClassLoader加载hkShutdownMethod方法:完成hook系统Binder,替换成指定Binder;
 
libhook.so加载hkShutdownMethod方法

技术分享

图6

 
ksremote.jar hook系统Binder,并完成替换

技术分享

图7 hook系统Binder

 
3、 libshutdown.so  Hook系统reboot方法,拦截关机调用;

技术分享

图8

 
4、 libhook.so DexClassLoader加载hkShutdownMethod ,注册BroadcastReceiver,hook住PowerManagerService电源服务,阻止屏幕亮起,弹出自定义的黑色界面,关机后使手机处于“假关机”状态

技术分享

图9 注册广播接收器

技术分享

图10 hook 住PowerManager电源服务

技术分享

图11 自定义黑色关机界面

 
(3)窃取隐私
 

AndroidClientService发送定时器,注册广播接收器,触发恶意方法,窃取短信、联系人、通话记录、位置信息、通话录音等信息,并将隐私信息上传到远程服务器。

技术分享

图12

“关机窃听”-- 病毒分析报告