install-recovery.sh流氓插件腳本

install-recovery.sh流氓插件腳本

　　你們聽過install-recovery.sh流氓插件腳本嗎?近期，AVL移動安全團隊截獲一款會篡改手機啟動腳本的流氓插件，該插件一旦被加載運行，首先嘗試請求超級用戶權限，進而惡意篡改手機啟動腳本，釋放特定重打包應用(應用商店類)到系統應用目錄。下面是學習啦小編整理的一些關于install-recovery.sh流氓插件腳本的相關資料，供你參考。

　　install-recovery.sh流氓插件腳本:

　　install-recovery.sh流氓插件一、行為及危害

　　該插件依靠應用主體運行，被加載啟動后會嘗試請求超級用戶權限

　　篡改手機啟動腳本，釋放特定重打包的應用商店類應用到系統應用目錄下

　　后臺上傳設備Rom自帶的應用相關信息到遠程服務器

　　install-recovery.sh流氓插件二、插件結構

　　該插件安裝后無圖標，并偽裝成“skype”在后臺加載運行。如圖1所示:

　　圖1 插件運行情況

　　插件的包結構相對簡單，assets目錄下包含很多ELF可執行文件和經過加密的資源文件。如圖2所示:

　　圖2 插件包結構

　　install-recovery.sh流氓插件三、詳細分析

　　1、插件被加載運行后，嘗試申請超級用戶權限

　　該插件常見為依賴主體應用直接進入用戶設備中，也出現過通過某應用彈出的插件下載提示，由用戶自行下載該插件。插件一旦進入用戶設備中，將依靠主體應用加載運行，首先會申請超級用戶權限。

　　2、篡改腳本并釋放應用到系統應用目錄

　　當插件獲取超級用戶權限后，后臺服務QService啟動，并在/data/data/com.q.t/目錄下生成.f的隱藏目錄，將資源文件a,b,c,da,db,dc,dd,de讀取后存放在該隱藏目錄下，并解密文件43bin和ntf，在.f隱藏目錄下生成insqn的腳本。

　　創建腳本：

　　生成的腳本如下圖所示：

　　腳本被執行后，將隱藏目錄當中的文件替換系統的配置文件，包括apn，install-recovery.sh。

　　除此之外，程序運行時，還會后臺監控腳本是否執行成功，并將相關的狀態信息上傳到遠程服務器。一旦執行成功，便立即刪除插件程序以及插件程序對應的數據目錄文件。

　　資源文件釋放位置對應關系表：

　　替換系統啟動腳本后，手機會在啟動后傳入“—auto-daemon”參數以守護進程形式運行update模塊，載入正常的啟動腳本。而后在系統目錄中安裝一款名為“應用商店”的應用。

　　經過分析發現，“應用商店”重打包了一款知名的市場類應用，如下圖所示，與官方版本相比，重打包后的應用在原官方應用基礎上增加了com.ally和com.fun這樣的包結構。

　　在程序清單文件當中也發現重打包應用當中增加了相應的Receiver和Service。

　　3、后臺上傳用戶手機Rom相關信息到遠程服務器

　　在重打包應用增加的com.ally包結構當中，其通過調用native層方法來獲取用戶設備和Rom內置應用相關信息。

　　通過該方法獲取的用戶信息包含以下兩類：

　　1)設備相關信息

　　包含用戶手機IMEI，IMSI，手機品牌，型號，SDK版本，當前應用程序包名，wifi mac地址，網絡聯網狀態。

　　2)用戶安裝的應用信息

　　主要是用戶安裝的應用信息、Rom自帶的應用信息，含/system/framwork以及/system/app目錄下的應用。

　　獲取用戶應用信息后，通過回調接口將獲取的用戶隱私信息上傳到遠程服務器。

　　通過分析，發現如下遠程服務器：

　　xxpl.mehadoop.com

　　103.17.42.195

　　flashapi.5dong.com.cn

　　通過對域名反查發現，這些域名都是通過阿里云注冊的，部分域名是由國內做rom推廣的廠商所擁有，而部分已失效。

　　看過文章“install-recovery.sh流氓插件腳本”的人還看了：

　　1.如何遠離惡意網站

　　2.教你的電腦運行如飛的小技巧

　　3.Win8給IE添加Flash插件的方法

　　4.內存不能為read或written的解決方法

　　5.清除流氓軟件的詳細步驟

　　6.開機反應慢是什么原因

　　7.教你如何修復瀏覽器

　　8.如何讓網絡穩定

　　9.QQ空間打不開怎么辦 為什么打不開

　　10.內存不能為read修復工具