“Like Maniacs”在社交网络上很活跃,这已不是什么秘密。 如今,网络上活跃着“Like Maniac”的病毒版本。 近日,360安全大脑详细披露了一款兼容Android 64位的Android Native病毒——“Like Maniac”。
该病毒以虚假色情应用为诱饵,引诱用户上钩。 它暗中利用短视频网络接口增加短视频的点赞量,增加公众号的浏览量,在不知不觉中将普通用户变成点赞的“僵尸粉丝”。 。 用户可以下载安装360手机卫士来拦截并查杀此类病毒。
被击中后立马成为“僵尸粉”
“求赞狂”通过色情应用蔓延
与普通病毒不同,“Like Mania”病毒非常狡猾。 据360安全大脑追踪数据显示,该病毒不仅可以通过修改系统文件、云控加载等技术手段躲避杀毒软件,还利用CVE-2019-2025(水滴漏洞)等多个Android系统漏洞)获得最高的手机漏洞。 ROOT 权限。 这也导致手机一旦感染病毒,就会被植入大量难以删除的底层恶意模块。 除了成为“工具人”之外,还可能遭遇恶意扣费。
从危害来看,“点赞狂”病毒的主要特点是,将受影响的手机变成短视频点赞和公众号阅读量的“僵尸粉丝”,在未经用户同意的情况下私自订购付费服务。知识。 、截获扣费短信,造成直接经济损失。 从传播途径来看,病毒主要通过色情应用、小游戏等方式传播。
(“刷单狂”病毒伪装的几种典型应用)
根据360安全大脑监测数据,该病毒可利用多个Android系统漏洞获取手机最高ROOT权限、修改系统文件(aee_aed/debuggerd)、利用SVC指令隐蔽加载病毒主文件并下载payload来自云端。 ,使用自定义的加密算法来保护自身不被防病毒软件发现。
ROOT三步增加特权、刷赞、扣费
“获赞狂人”蛇皮动作轻柔躲避杀戮
“点赞狂潮”病毒感染手机后,首先会从云服务器下载ROOT提权工具包,解密释放病毒主文件kms_02ext,在手机上获取更高的ROOT权限进行点赞,刷量阅读量、恶意扣费等非法操作。 360安全大脑分析指出,“Like Maniac”病毒从云端下载ROOT提权工具包之前,实际上有一个复杂且隐蔽的准备阶段。
当用户无意中下载了带有病毒的应用程序,打开应用程序界面时,首先会看到加载等待界面。 此时,应用程序实际上是在“偷偷”偷偷上传用户的手机号码和设备信息,并下载ROOT提权工具包等其他功能模块,为获取手机ROOT权限等恶意行为做准备。 在此过程中,应用程序将释放并下载近50个jar文件。
为了吸引更多用户,病毒应用还会在假色情应用显示的视频页面上显示用户评论,以增加可信度,打消用户的防御心理。 但360安全大脑溯源分析发现,视频页面上的评论和ID都是预先设定的内容,只是为了进一步迷惑用户。
此外,病毒应用程序还使用多个数据库文件来分类存储相应的信息。
病毒dfsywwy.data数据库存储了大量可供下载的jar文件,可见插件数量之庞大。 详情如下:
当病毒应用释放的ss.jar文件成功从云端下载upnpclz.apk后,就准备进一步下载ROOT提权工具包。
第一步:ROOT提权
upnpclz.apk加载后会检查更新,并从云端下载ROOT提权工具包imgs_9.zip,解密后得到upz_5压缩文件。
接下来百度百科刷赞软件,它会加载libkm05.so(64位手机为libkm05_64.so),调用两个JNI函数,解密km01,释放出“Like Mania”病毒的主文件kms_02ext。
至此,病毒主文件kms_02ext运行后,最终会释放“Like Mania”病毒的核心作恶模块km09_2970.so,并调用km09_2970.so的func_3()函数完成ROOT权限等操作核心elf文件的升级和发布。 如此长的释放链,可以说“食妖”病毒的生存欲望非常强烈。
需要说明的是,在func_3()函数中,病毒首先会POST设备信息到C&C服务器,识别手机型号,并选择合适的提权方案来获取手机的ROOT权限。 在此过程中,病毒主要利用CVE-2013-2595、CVE-2016-5195(脏牛)、CVE-2019-2025(水滴)等漏洞实现手机ROOT提权。
第二步:短视频获得点赞
成功获取手机ROOT权限后,核心邪恶模块km09_2970.so会从云端下载解密后的类似模块v15.zip的短视频(解密后为SO文件),并加载do_main()函数SO文件的,用于下载并解密v18_u.zip,这是“Like Maniac”病毒完全解密的主文件kms_02ext。 主病毒被删除后,仍然可以通过这种方式“满血复活”。
接下来libdy.so会读取短视频应用的token_shared_preference.xml、applog_stats.xml、cookies文件,获取自动点赞所需的用户token等个人登录信息,构建完整的短视频点赞请求URL,并返回它通过解析得到的“status_code”和“is_digg”参数值来判断点赞是否成功。
此外,恶意模块km09_2970.so还会释放恶意文件liblad.so和wxop.dex。 liblad.so会在.init_array段中加载病毒文件/system/bin/debuggerro,并在my_entry()函数中创建一个新线程来加载wxop的com.wxop.Entry类的入口函数DoOp()。 dex,通过社交Webview访问指定URL,增加公众号的阅读量。 公众号阅读量提升的代码片段如下:
第三步:恶意扣费
如果病毒式点赞把普通用户变成了“工具”,那么后续的恶意扣款将直接危及用户的钱包。 此次病毒释放的恶意模块km09_2970.so会将恶意文件1.so和jarop.dex.jar注入到com.android.phone进程中,监听手机短信的收发,甚至私自订阅付费服务,拦截、扣除免费短信。
该病毒进行短信拦截的恶意代码片段如下:
相关C&C服务器信息
相关APK列表
不要害怕“疯狂”的例行公事
更新360手机卫士护航安全
对于普通用户来说,“Like Maniac”病毒强行接管用户手机以增加点赞和阅读量,不仅影响手机的正常使用,导致个人信息泄露,恶意利用漏洞也直接造成对用户手机的安全构成巨大威胁。 。 同时,对于用户来说,当病毒作者获得ROOT权限后,就等于将手机交给了不法分子。 一旦被利用,很可能造成难以挽回的损失。
对此,360安全大脑给出以下安全建议:
1、找到“360手机卫士”神助攻:通过360手机卫士官网及各大应用市场及时安装/更新360手机卫士,对您的手机进行全面“体检”;
2、预防微传染病:如果手机出现异常发热、超屏广告等异常症状,及时使用360手机卫士进行体检、扫描病毒;
3、警惕性陷阱:病毒作者常常利用人们的好奇心,精心设置陷阱,让用户上当。 广大手机用户不应心存侥幸。 通过正规的移动应用市场下载安装应用程序百度百科刷赞软件,可以有效避免被抓的风险;
4、谨慎发布:如果杀毒软件提示您有病毒,请勿信任病毒软件提示添加信任;
5、及时更新系统和补丁:及时升级系统、安装系统更新补丁,可以有效降低漏洞利用风险。
