install recovery.sh install-recovery.sh流氓插件脚本

你们听过install-recovery.sh流氓插件脚本吗?近期,AVL移动安全团队截获一款会篡改手机启动脚本的流氓插件,该插件一旦被加载运行,首先尝试请求超级用户权限,进而恶意篡改手机启动脚本,释放特定重打包应用(应用商店类)到系统应用目录。下面是小编整理的一些关于install-recovery.sh流氓插件脚本的相关资料,供你参考。

install-recovery.sh流氓插件脚本:

install-recovery.sh流氓插件一、行为及危害

该插件依靠应用主体运行,被加载启动后会尝试请求超级用户权限

篡改手机启动脚本,释放特定重打包的应用商店类应用到系统应用目录下

后台上传设备Rom自带的应用相关信息到远程服务器

install-recovery.sh流氓插件二、插件结构

该插件安装后无图标,并伪装成“skype”在后台加载运行。如图1所示:

图1 插件运行情况

插件的包结构相对简单,assets目录下包含很多ELF可执行文件和经过加密的资源文件。如图2所示:

图2 插件包结构

install-recovery.sh流氓插件三、详细分析

1、插件被加载运行后,尝试申请超级用户权限

该插件常见为依赖主体应用直接进入用户设备中,也出现过通过某应用弹出的插件下载提示,由用户自行下载该插件。插件一旦进入用户设备中,将依靠主体应用加载运行,首先会申请超级用户权限。

2、篡改脚本并释放应用到系统应用目录

当插件获取超级用户权限后,后台服务QService启动,并在/data/data/com.q.t/目录下生成.f的隐藏目录,将资源文件a,b,c,da,db,dc,dd,de读取后存放在该隐藏目录下,并解密文件43bin和ntf,在.f隐藏目录下生成insqn的脚本。

创建脚本:

生成的脚本如下图所示:

脚本被执行后,将隐藏目录当中的文件替换系统的配置文件,包括apn,install-recovery.sh。

除此之外,程序运行时,还会后台监控脚本是否执行成功,并将相关的状态信息上传到远程服务器。一旦执行成功,便立即删除插件程序以及插件程序对应的数据目录文件。

install recovery.sh install-recovery.sh流氓插件脚本

资源文件释放位置对应关系表:

替换系统启动脚本后,手机会在启动后传入“—auto-daemon”参数以守护进程形式运行update模块,载入正常的启动脚本。而后在系统目录中安装一款名为“应用商店”的应用。

经过分析发现,“应用商店”重打包了一款知名的市场类应用,如下图所示,与官方版本相比,重打包后的应用在原官方应用基础上增加了com.ally和com.fun这样的包结构。

在程序清单文件当中也发现重打包应用当中增加了相应的Receiver和Service。

3、后台上传用户手机Rom相关信息到远程服务器

在重打包应用增加的com.ally包结构当中,其通过调用native层方法来获取用户设备和Rom内置应用相关信息。

通过该方法获取的用户信息包含以下两类:

1)设备相关信息

包含用户手机IMEI,IMSI,手机品牌,型号,SDK版本,当前应用程序包名,wifi mac地址,网络联网状态。

2)用户安装的应用信息

主要是用户安装的应用信息、Rom自带的应用信息,含/system/framwork以及/system/app目录下的应用。

获取用户应用信息后,通过回调接口将获取的用户隐私信息上传到远程服务器。

通过分析,发现如下远程服务器:

xxpl.mehadoop.com

103.17.42.195

flashapi.5dong.com.cn

通过对域名反查发现,这些域名都是通过阿里云注册的,部分域名是由国内做rom推广的厂商所拥有,而部分已失效。

  

爱华网本文地址 » http://www.aihuau.com/a/210561/917415962.html

更多阅读

证书错误怎么办 精 安全证书错误怎么办

IE发出网站证书错误,可能是很多原因造成的,比如浏览器中的流氓插件、病毒、错误的浏览器的设置、网站自身的问题等,下面针对各种原因一一进行排查,有可能第一步你的问题就能解决,也有可能最后一步才能解决,总之你要耐心一下了。证书错误

电脑变慢怎么办 精 电脑速度变慢了怎么办

电脑运行一段时间后如果不进行保养就会变慢,一开始或许感觉不到什么,但是时间长了就会变的很慢,甚至有的时候进入假死状态。电脑变慢怎么办 精——步骤/方法电脑变慢怎么办 精 1、?清理插件现在很多用户在上网的时候会主动或者被动的

无耻的联通沃宽~ 联通沃宽提速软件

2015年初,忽然发现台式电脑的百度搜索出现了故障,输入任何关键词均无法检索,包括点击百度首页的链接都会被强制重置回首页,换句话说,百度搜索相当于被彻底报销。由于众所周知的原因google不能使用,百度搜索一旦 无法使用相当的麻烦。问题

声明:《install recovery.sh install-recovery.sh流氓插件脚本》为网友青春用来挥霍分享!如侵犯到您的合法权益请联系我们删除