FakeDebuggerd Android rootkit分析报告病毒防范 -电脑资料

FakeDebuggerdAndroidrootkit分析报告病毒防范-电脑资料FakeDebuggerdAndroidrootkit分析报告病毒防范-电脑资料「篇一」起初通过pm命令我只能发现可疑系统程序的路径在/system/framework/AndroidSecurity.apk然后我尝试使用pmuninstall删除，重启之后这个apk又出现了，于是怀疑有固件级别的程序在回写这个apk。通过查看init.rc、svc等多个启动脚本，都没有发现异常。在system分区搜索文件的敏感字符串，也没有结果。于是开始逆向AndroidSecurity.apk，程序多次调用socketWork连接localsocket，发送命令，这和Oldboot机制类似：找到localsocket的源头很容易：首先取得socket的inode。然后查找引用了这个inode的进程至此发现源头是debuggerd，通过逆向发现，debuggerd被彻底替换为木马，可以回写其他衍生程序，所以才会发生AndroidSecurity.apk杀不掉的状况FakeDebuggerdAndroidrootkit分析报告病毒防范-电脑资料「篇二」通过样本AndroidSecurity.apk的包名和证书，我搜索到该样本的若干历史版本。最早期版本在2011年末出现，在此期间感染方式也有所变化：比如在早起版本中，AndroidSecurity.apk没有使用LocalSocket与debuggerd通信，后来才出现了debuggerd作为守护进程和提权后门；再如，早期也并没有sm.jar这个文件，而是使用一个叫做com.android.poweralarm的应用去拦截短信，后来显然是为了将短信拦截更为隐蔽，移到了一个jar中，通过app_porcess启动。从出现至今，该样本分别以com.android.systemsecurity、com.android.xbrowser

、com.android.poweralarm

、com.htc.systemsecurity

、com.samsung.systemsecurity

等多个包名出现在包括中兴、三星、HTC等多款手机的第三方rom中，先后使用过至少五个证书。FakeDebuggerdAndroidrootkit分析报告病毒防范-电脑资料「篇三」这是一个rom级别的木马。FakeDebuggerdAndroidrootkit分析报告病毒防范只要/system/bin/debuggerd没有被清理，FakeDebuggerd就能从/system/bin/debuggerd文件尾部将所有被删除的文件重新释放。而debuggerd是原生服务，本身就是开机启动进程，因此木马不需要对init.rc或者其他脚本做额外修改，这样整个行为会更加隐蔽。FakeDebuggerd加密所有字符串，回写时修复文件创建时间，即使木马apk被发现，也不能通过在目录中暴力搜索字符串来找到作恶的源头/system/bin/debuggerd。从恶意行为上看，该木马具有回写推广widget、篡改默认浏览器主页、静默安装apk，窃取用户手机号、硬件编号、地理位置等恶意行为，木马作者还可以根据回传的手机号单独下发控制配置。该样本的衍生程序早期变种在2011年末就被发现，本次发现的是其最新变种。目前360已经能够彻底查杀。（专杀工具下载）FakeDebuggerdAndroidrootkit分析报告病毒防范-电脑资料「篇四」短信拦截是一个敏感操作，该木马没有将这部分代码放在apk中，而是由debuggerd来启动一个jar包，并且将其pid设置为1000exportCLASSPATH=/system/framework/sm.jar.execapp_process/system/binmands.sm.Sm"$@"。Sm.jar拦截短信控制指令，更新配置文件，并且必要时与AndroidSecurity.apk通过广播通信拦截短信，通过广播将相应指令转发给AndroidSecurity.apk4.

AndroidSecurity.Apk最后来看AndroidSecurity.apk，这是最早发现问题的源头，整个apk仅由一个广播com.android.xbrowser.ABC组成。它接收以下广播：接收com.htc.lucy.initalarmaction

：这个广播是机器启动时初始化时通过AlarmManager调用的，并且定时触发在该广播触发时，将手机系统信息写入/data/data/com.android.xbrowser/files/1.dat如果wifi环境没有开启的情况下，尝试设置APN以使用蜂窝网络与debuggerd通信，添加Widget到桌面这个Widget在/system/app/widgetmain.apk中实现最后，还会注册一个com.htc.lucy.alarmaction

reciever定时触发接收com.htc.lucy.alarmaction

：与com.htc.lucy.initalarmaction类似，但是省去初始化的一些逻辑，定时监测是否需要更新配置文件2.dat，修正蜂窝网络连通性接收.conn.CONNECTIVITY_CHANGE

：网络环境更新消息接收后，检查今天是否有尝试更新过云端配置，如果没有，向debuggerd发送消息请求更新这时候debuggerd联网获取配置，并将配置存储在2.dat中。并且返回给AndroidSecurity.apk一个结果。如果更新成功，AndroidSecurity.apk从2.dat里面获取smskeys(短信拦截关键字)，通过com.android.xbrowser.watchdapkbc广播传送给sm.jar。Sm.jar则去拦截短信指令接收com.android.xbrowser.smsapkbc接收com.android.xbrowser.sm2watchdapkbc更新文件版本号接收ent.action.ACTION_SHUTDOWN流量统计使用，重启之前要将本次开机之后的流量保存在1.dat中接收com.android.xbrowser.wapbc来自sm.jar的查询配置文件2.dat的请求接收com.android.xbrowser.smresetbcSm.jar重新启动发来的广播，随后本apk向debuggerd发消息通常执行的操作是杀掉com.android.poweralarm进程，当sm.jar传来特殊的指令时，此apk发送消息让debuggerd将木马彻底清除5.

Widgetmain.apk在AndroidSecurity.apk启动时，要求debuggerd向桌面插一个widget路径是/system/bin/widgetmain.apk该apk没有特别的恶意行为，目的是推送广告快捷方式到桌面上FakeDebuggerdAndroidrootkit分析报告病毒防范-电脑资料「篇五」目前，我们已经独家发布了专杀工具，下载地址是：/mobilesafe/shouji360/360safesis/FakedbgKiller.apk该专杀可以彻底根除FakeDebuggerd木马。同时建议用户从正规渠道购买手机，安装360手机卫士保护手机安全。如遇到病毒反复查杀、手机中静默安装软件等异常现象，及时向我们反馈。FakeDebuggerdAndroidrootkit分析报告病毒防范-电脑资料「篇六」这是我们发现的又一个在手机系统启动阶段重新释放衍生APK程序的rootkit。与Oldboot和DroidKungfu不同，该木马没有修改启动脚本，而是选择直接替换系统进程达到自启动的目的，木马还包含强大的云控机制，有很强的扩展能力，被植入此木马的手机存在不可预估的高危风险。同时我们也注意到rom中木马逐渐增多的趋势，我们将会继续关注此类顽固木马并提供相应的解决方案。​FakeDebuggerdAndroidrootkit分析报告病毒防范-电脑资料「篇七」这个文件只有22k，debuggerd在初始化阶段调用，并且只有在/proc/net/netfilter/nfnetlink_queue存在的情况下启用,在这台测试手机上该程序跑不起来