install-recovery.sh流氓插件腳本

　　你們聽過install-recovery.sh流氓插件腳本嗎?近期，AVL移動安全團隊截獲一款會篡改手機啟動腳本的流氓插件，該插件一旦被加載運行，首先嘗試請求超級用戶權(quán)限，進而惡意篡改手機啟動腳本，釋放特定重打包應(yīng)用(應(yīng)用商店類)到系統(tǒng)應(yīng)用目錄。下面是學(xué)習(xí)啦小編整理的一些關(guān)于install-recovery.sh流氓插件腳本的相關(guān)資料，供你參考。

　　install-recovery.sh流氓插件腳本:

　　install-recovery.sh流氓插件一、行為及危害

　　該插件依靠應(yīng)用主體運行，被加載啟動后會嘗試請求超級用戶權(quán)限

　　篡改手機啟動腳本，釋放特定重打包的應(yīng)用商店類應(yīng)用到系統(tǒng)應(yīng)用目錄下

　　后臺上傳設(shè)備Rom自帶的應(yīng)用相關(guān)信息到遠程服務(wù)器

　　install-recovery.sh流氓插件二、插件結(jié)構(gòu)

　　該插件安裝后無圖標，并偽裝成“skype”在后臺加載運行。如圖1所示:

　　圖1 插件運行情況

　　插件的包結(jié)構(gòu)相對簡單，assets目錄下包含很多ELF可執(zhí)行文件和經(jīng)過加密的資源文件。如圖2所示:

　　圖2 插件包結(jié)構(gòu)

　　install-recovery.sh流氓插件三、詳細分析

　　1、插件被加載運行后，嘗試申請超級用戶權(quán)限

　　該插件常見為依賴主體應(yīng)用直接進入用戶設(shè)備中，也出現(xiàn)過通過某應(yīng)用彈出的插件下載提示，由用戶自行下載該插件。插件一旦進入用戶設(shè)備中，將依靠主體應(yīng)用加載運行，首先會申請超級用戶權(quán)限。

　　2、篡改腳本并釋放應(yīng)用到系統(tǒng)應(yīng)用目錄

　　當(dāng)插件獲取超級用戶權(quán)限后，后臺服務(wù)QService啟動，并在/data/data/com.q.t/目錄下生成.f的隱藏目錄，將資源文件a,b,c,da,db,dc,dd,de讀取后存放在該隱藏目錄下，并解密文件43bin和ntf，在.f隱藏目錄下生成insqn的腳本。

　　創(chuàng)建腳本：

　　生成的腳本如下圖所示：

　　腳本被執(zhí)行后，將隱藏目錄當(dāng)中的文件替換系統(tǒng)的配置文件，包括apn，install-recovery.sh。

　　除此之外，程序運行時，還會后臺監(jiān)控腳本是否執(zhí)行成功，并將相關(guān)的狀態(tài)信息上傳到遠程服務(wù)器。一旦執(zhí)行成功，便立即刪除插件程序以及插件程序?qū)?yīng)的數(shù)據(jù)目錄文件。

　　資源文件釋放位置對應(yīng)關(guān)系表：

　　替換系統(tǒng)啟動腳本后，手機會在啟動后傳入“—auto-daemon”參數(shù)以守護進程形式運行update模塊，載入正常的啟動腳本。而后在系統(tǒng)目錄中安裝一款名為“應(yīng)用商店”的應(yīng)用。

　　經(jīng)過分析發(fā)現(xiàn)，“應(yīng)用商店”重打包了一款知名的市場類應(yīng)用，如下圖所示，與官方版本相比，重打包后的應(yīng)用在原官方應(yīng)用基礎(chǔ)上增加了com.ally和com.fun這樣的包結(jié)構(gòu)。

　　在程序清單文件當(dāng)中也發(fā)現(xiàn)重打包應(yīng)用當(dāng)中增加了相應(yīng)的Receiver和Service。

　　3、后臺上傳用戶手機Rom相關(guān)信息到遠程服務(wù)器

　　在重打包應(yīng)用增加的com.ally包結(jié)構(gòu)當(dāng)中，其通過調(diào)用native層方法來獲取用戶設(shè)備和Rom內(nèi)置應(yīng)用相關(guān)信息。

　　通過該方法獲取的用戶信息包含以下兩類：

　　1)設(shè)備相關(guān)信息

　　包含用戶手機IMEI，IMSI，手機品牌，型號，SDK版本，當(dāng)前應(yīng)用程序包名，wifi mac地址，網(wǎng)絡(luò)聯(lián)網(wǎng)狀態(tài)。

　　2)用戶安裝的應(yīng)用信息

　　主要是用戶安裝的應(yīng)用信息、Rom自帶的應(yīng)用信息，含/system/framwork以及/system/app目錄下的應(yīng)用。

　　獲取用戶應(yīng)用信息后，通過回調(diào)接口將獲取的用戶隱私信息上傳到遠程服務(wù)器。

　　通過分析，發(fā)現(xiàn)如下遠程服務(wù)器：

　　xxpl.mehadoop.com

　　103.17.42.195

　　flashapi.5dong.com.cn

　　通過對域名反查發(fā)現(xiàn)，這些域名都是通過阿里云注冊的，部分域名是由國內(nèi)做rom推廣的廠商所擁有，而部分已失效。

　　看過文章“install-recovery.sh流氓插件腳本”的人還看了：

　　1.如何遠離惡意網(wǎng)站

　　2.教你的電腦運行如飛的小技巧

　　3.Win8給IE添加Flash插件的方法

　　4.內(nèi)存不能為read或written的解決方法

　　5.清除流氓軟件的詳細步驟

　　6.開機反應(yīng)慢是什么原因

　　7.教你如何修復(fù)瀏覽器

　　8.如何讓網(wǎng)絡(luò)穩(wěn)定

　　9.QQ空間打不開怎么辦 為什么打不開

　　10.內(nèi)存不能為read修復(fù)工具