XHelper木马针对低端ODM Android智能手机用户进行大规模攻击

研究人员曾在2019年10月检测到xHelper木马开始在Android智能手机上进行大规模攻击,但到现在,该恶意软件仍然活跃。 xHelper的主要特点是难以删除,一旦入侵手机,即使用户删除它并恢复出厂设置,它仍会以某种方式驻留。 该恶意软件使用捆绑的本机库解密并启动其有效负载,解密并依次启动删除程序 、恶意软件下载器、恶意软件Triada。Triada中包含一组用于在受害者的设备上获取root特权的漏洞。恶意文件会顺序存储在应用程序的数据文件夹中,而其他程序无法访问这些文件夹。 该恶意软件可以在中国制造(包括ODM),搭载Android版本6和7的设备上获得root访问权限。 获得特权后,xHelper可以直接在系统分区中安装恶意文件。 Triada利用其最著名的技巧,即重新安装系统分区以在其中安装程序,使得目标文件夹中的所有文件都被分配了不可变属性,给删除恶意软件增加了难度,因为系统不允许超级用户删除具有此属性的文件。同时, Triada用自己的代码代替libc中的mount函数(用于装载文件系统),从而防止用户以写模式装载system分区。 无论如何,使用感染了xHelper的智能手机都是极其危险的。 该恶意软件安装了后门程序,该后门程序能够以超级用户身份执行命令。 它为攻击者提供了对所有应用程序数据的完全访问权限,并且也可以被其他恶意软件(例如CookieThief)使用。

xHelper如何工作?

让我们根据当前活动的示例Trojan-Dropper.AndroidOS.Helper.h分析该系列的逻辑。该恶意软件伪装成流行的智能手机清洁和加速应用程序,但实际上没有任何用处:安装后,“清洁器”就消失了,在主屏幕或程序中都看不到菜单。您只能通过检查系统设置中已安装的应用程序列表来查看它。 该特洛伊木马的有效负载在文件/assets/firehelper.jar中进行了加密(由于其加密与早期版本几乎没有变化,因此解密并不困难)。它的主要任务是将有关受害者电话的信息(android_id,制造商,型号,固件版本等)发送到https://lp.cooktracking [。] com / v1 / ls / get…
解密URL以发送设备信息 …并下载下一个恶意模块-Trojan-Dropper.AndroidOS.Agent.of。 反过来,该恶意软件使用捆绑的本机库解密并启动其有效负载;这种方法使得难以分析模块。在此阶段,解密并启动下一个删除程序Trojan-Dropper.AndroidOS.Helper.b。依次运行恶意软件Trojan-Downloader.AndroidOS.Leech.p,该恶意软件会进一步感染该设备。
Leech.p的任务是下载我们的老朋友HEUR:Trojan.AndroidOS.Triada.dd,其中包含一组用于在受害者的设备上获取root特权的漏洞。
解码Leech.p C&C的URL
下载Triada木马 恶意文件会顺序存储在应用程序的数据文件夹中,而其他程序无法访问这些文件夹。这种matryoshka风格的方案允许恶意软件作者遮盖痕迹,并使用安全解决方案已知的恶意模块。该恶意软件主要在中国制造商(包括ODM)运行Android版本6和7的设备上获得root访问权限。获得特权后,xHelper可以直接在系统分区中安装恶意文件。 请注意,系统分区在系统启动时以只读模式挂载。以root用户权限的武装,木马重新装载它写模式,并进入启动引人关注的命名脚本的主要工作forever.sh。Triada利用其最著名的技巧,包括重新安装系统分区以在其中安装程序。在本例中,安装了软件包com.diag.patches.vm8u,我们将其检测为Trojan-Dropper.AndroidOS.Tiny.d。 并将几个可执行文件复制到/ system / bin文件夹:
  • patch_mu8v_oemlogo — Trojan.AndroidOS.Triada.dd
  • debuggerd_hulu — AndroidOS.Triada.dy
  • kcol_ysy — HEUR:Trojan.AndroidOS.Triada.dx
  • /.luser/bkdiag_vm8u_date — HEUR:Trojan.AndroidOS.Agent.rt
还有一些文件复制到/ system / xbin文件夹:
  • diag_vm8u_date
  • patch_mu8v_oemlogo
将xbin文件夹中的文件调用添加到文件install-recovery.sh中,该文件允许Triada在系统启动时运行。目标文件夹中的所有文件都分配了不可变属性,这使删除恶意软件变得困难,因为系统甚至不允许超级用户删除具有此属性的文件。但是,可以通过使用chattr命令删除此属性来对抗特洛伊木马采用的这种自卫机制。 出现了一个问题:如果恶意软件能够以写模式重新安装系统分区以便在其中复制自身,用户是否可以采用相同的策略将其删除?Triada的创建者也考虑了这个问题,并适当地应用了另一项保护技术,该技术涉及修改系统库/system/lib/libc.so。该库包含设备上几乎所有可执行文件使用的通用代码。Triada用自己的代码代替libc中的mount函数(用于装载文件系统),从而防止用户以写模式装载/ system分区。 最重要的是,该木马会下载并安装更多恶意程序(例如HEUR:Trojan-Dropper.AndroidOS.Necro.z),并删除超级用户等根访问控制应用程序。

如何摆脱xHelper?

如上文所述,仅删除xHelper并不能完全对系统进行消毒。安装在系统分区中的程序com.diag.patches.vm8u会在第一时间重新安装xHelper和其他恶意软件。
在没有用户参与的情况下安装程序 但是,如果您在Android智能手机上设置了恢复模式,则可以尝试从原始固件中提取libc.so文件,并用它替换受感染的文件,然后再从系统分区中删除所有恶意软件。但是,完全刷新手机更为简单可靠。 还要记住,受xHelper攻击的智能手机的固件有时包含预安装的恶意软件,该恶意软件可独立下载和安装程序(包括xHelper)。在这种情况下,刷新是没有意义的,因此值得为您的设备考虑其他固件。如果确实使用其他固件,请记住设备的某些组件可能无法正常运行。 无论如何,使用感染了xHelper的智能手机都是极其危险的。该恶意软件安装了后门程序,该后门程序能够以超级用户身份执行命令。它为攻击者提供了对所有应用程序数据的完全访问权限,并且也可以被其他恶意软件使用,例如CookieThief。

C&C

lp.cooktracking [。] com / v1 / ls / get www.koapkmobi [。] com:8081 45.79.110.191 45.33.9.178 23.239.4.169 172.104.215.170 172. 104. 208. 241 172. 104。 212. 184 45. 117 33. 188 172. 104 216 43 172 104 218 166 104 200 16 77 198 58。 123. 253 172. 104 211. 160 172. 104 210. 184 162. 216 18. 240 172. 104 212 4 172 104。 214. 199 172. 104 212 202 172 104 209 55 172 104 219 210 172 104 218 146 45. 79。 177. 230 45. 33 0 123 45. 79 77. 161 45. 120 33. 75 45. 79 171 160 172 104。 210.193 45. 33. 0 176 45 79 146 48 DDL。okyesmobi [。] COM 45. 79. 151. 241 172. 104 213 65 172 104. 211. 117 DDL。okgoodmobi [。] COM

IOCs

Trojan-Dropper.AndroidOS.Helper.h — 59acb21b05a16c08ade1ec50571ba5d4 Trojan-Dropper.AndroidOS.Agent.of — 57cb18969dfccfd3e22e33ed5c8c66ce Trojan-Dropper.AndroidOS.Helper.b — b5ccbfd13078a341ee3d5f6e35a54b0a Trojan-Downloader.AndroidOS.Leech.p — 5fdfb02b94055d035e38a994e1f420ae Trojan.AndroidOS.Triada.dd — 617f5508dd3066de7ec647bdd1497118 Trojan-Dropper.AndroidOS.Tiny.d — 21ae93aa54156d0c6913243cb45700ec Trojan.AndroidOS.Triada.dd —  105265b01bac8e224e34a700662ffc4c8 Trojan.AndroidOS.Agent.rt — 95e2817a37c317b17de42e565475f40f Trojan.AndroidOS.Triada.dy — cfe7d8c9c1e43ca02a4b1852cb34d5a5 Trojan.AndroidOS.Triada.dx — e778d4cc1a7901689b59e9abebc925e1 Trojan-Dropper.AndroidOS.Necro.z — 2887ab410356ea06d99286327e2bc36b
0 0 vote
Article Rating

未经允许不得转载:x-sec » XHelper木马针对低端ODM Android智能手机用户进行大规模攻击

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x