FireEye實(shí)驗(yàn)室一位移動(dòng)安全研究專家近期發(fā)現(xiàn)一款迅速蔓延全球的，可完全控制Android設(shè)備的惡意軟件家族病毒。據(jù)稱該攻擊來源于中國。因其命令以及控制域：aps.kemoge.net，便將其命名為Kemoge。

[[151480]]

如上圖所示，已確認(rèn)的感染范圍超過20國，其中包括政府以及大型企業(yè)。該惡意廣告軟件通過重新打包將自身偽裝成流行App，因而得到廣泛傳播。其中一些樣本如下圖所示：

Kemoge的樣本很多，這里就不一一列舉了。

Kemoge的生命周期

如上圖所示，攻擊者將App上傳到第三方應(yīng)用商店，通過網(wǎng)站或者App內(nèi)置廣告來進(jìn)行推廣，一些激進(jìn)的廣告聯(lián)盟還可能會(huì)通過獲取root權(quán)限直接進(jìn)行安裝樣本。

在初始啟動(dòng)時(shí)，Kemoge收集設(shè)備信息并將其上傳到廣告服務(wù)器，無論受害者當(dāng)前是在干什么在一定時(shí)間都會(huì)看到廣告橫幅(即使停留在Android主屏幕，也可能會(huì)突然彈出)。

起初Kemoge只是令人有些許不滿，但是很快就會(huì)令人感到憤怒。從上圖中可以看到當(dāng)用戶開啟設(shè)備屏幕或者網(wǎng)絡(luò)連接變化，其將AndroidManifest中的MyReceiver設(shè)置為自啟動(dòng)，接著MyReceiver喚醒MyService;兩者都是偽裝成Google的代碼(前綴com.google.rp.confirm)。一些樣本也使用下列作為組件前綴：

com.google.system.provider.confirm,

com.google.ad.sprovider,

com.android.ad.sprovider

啟動(dòng)之后，MyService就開始尋找一個(gè)名為.mp4的資源，這個(gè)影藏的.mp4資源實(shí)際上是一個(gè)進(jìn)行多級(jí)加密的.ZIP文件。總的說來，其使用.ZIP自有的文件加密對(duì)資源內(nèi)容進(jìn)行保護(hù)，受保護(hù)的.ZIP文件再使用DES加密，最后在將DES密鑰進(jìn)行加密(此處稱之為Key1)與此同時(shí)也對(duì)另一個(gè)DES密鑰(此處稱做Key2)進(jìn)行加密，并且在代碼中反匯編Key2將其作為字節(jié)。如下圖，逆向破解Kemoge解密ZIP文件。

下圖為反匯編生成DES密鑰的Java代碼片段：

從上圖反匯編DES密鑰代碼片段中我們獲得了Key2，接著就可以生成Key1了。這代碼片段把字節(jié)[0x73, 0x41, 0x26, 0x73, 0x32, 0x76, 0x24, 0x31]為Key2，接著解密[0x87, 0xAF, 0xF9, 0xE5, 0x93, 0xE1, 0x50, 0x5A, 0x12, 0x8B, 0x9F, 0x8C, 0x72, 0x86, 0x79, 0xE3]。注意通過替換真實(shí)ASCII字符可實(shí)現(xiàn)代碼混淆加密字節(jié)。例如使用0×38和0×37(8和7)來替換0×87，解密沒有指定初識(shí)向量直接使用Android Bouncy Castle默認(rèn)的DES模式(DES/ECB/PKCS5Padding)。解密后的字節(jié)為[0x35, 0x64, 0x26, 0x4c, 0x32, 0x2c, 0x54, 0x39, 0x77, 0x4f]由此推導(dǎo)出的Key1(以及DESKeySpec)來解密ZIP文件。

使用上面相同的方法獲得Key1，但隨著作為輸出的不同加密字節(jié)，Kemoge生成ZIP保護(hù)密碼。解壓這個(gè)文件后，從其中提取出以下文件：

AndroidRTService.apk
root.sh
busybox
su
.root
root_001, root_002, ..., root_008 (8個(gè)root exploit可執(zhí)行文件)

Kemoge：步步驚心

該惡意軟件攜帶8個(gè)可對(duì)設(shè)備進(jìn)行root的exploit可執(zhí)行文件，來應(yīng)對(duì)大范圍的設(shè)備模型。這些root方法包括mempodroid, motochopper, perf_swevent exploit,sock_diag exploit, 以及 put_user exploit.其中一些exploit看起來似乎借鑒了部分開源項(xiàng)目中的代碼[2][3]，但是其中一些看起來又像是來自商業(yè)工具Root Dashi(Roor大師)。

獲取root權(quán)限之后，執(zhí)行root.sh獲得持久性，然后將AndroidRTService.apk作為Launcher0928.apk(命名方法模仿合法的桌面啟動(dòng)器系統(tǒng)服務(wù))植入/system分區(qū)。此外，這個(gè)apk包看起來也確實(shí)像正常的應(yīng)用，類似的還有com.facebook.qdservice.rp.provider以及com.android.provider.setting。

這個(gè)惡意系統(tǒng)通過aps.kemoge.net來傳遞命令。為了逃避檢測(cè)，它不經(jīng)常與該服務(wù)器進(jìn)行連接。反而，其只在第一次啟動(dòng)和命令執(zhí)行24小時(shí)后才會(huì)請(qǐng)求命令。在每一次通信中，首先將IMEI,IMSI,儲(chǔ)存信息，安裝的App信息發(fā)送到遠(yuǎn)程服務(wù)器。我們?cè)贜exus 7(Android 4.3)截獲了網(wǎng)絡(luò)通信流量包：

接著上傳設(shè)備信息，并求情命令：

服務(wù)端響應(yīng)了3組命令：

Uninstall designated apps
Launch designated apps
Download and install apps from URLs given by server

在本案例中，它試圖卸載殺毒應(yīng)用程序以及一些流行應(yīng)用，可能準(zhǔn)備進(jìn)一步的攻擊。

附錄1中我例舉了一部分Kemoge樣本，附錄2中列舉了其使用的一些簽名證書。在所有的樣本中我們發(fā)現(xiàn)大量的簡體中文字符。有趣的是，有一款樣本在Google Play中進(jìn)行了發(fā)布，root exploit以及一些其他功能被閹割了。

谷歌商店上架應(yīng)用ShareIt或與Kemoge同根

Kemoge樣本包名：cc.taosha.toolbox.shareit

MD5：40b1dcbe5eca2d4cf3621059656aabb5

在Google Play中也有一款與茄子快傳(ShareIt)名稱相同的應(yīng)用，使用了與Kemoge相同的簽名，所以其應(yīng)該是同一位開發(fā)者，其在Google Play中此應(yīng)用已經(jīng)有10萬—50萬的下載量，基于開發(fā)者的名稱Zhang Long以及集成與App中的第三方庫(cn.wap3, com.renren, com.tencent等)研究者便推斷該開發(fā)者來自于中國。

基于用戶評(píng)論ShareIt有著與Kemoge相似的特征(煩人的廣告)，估計(jì)是為了滿足審計(jì)過程Google Play版本移除了root exploits，但其依舊保持著adm.kemoge.net和ads.kemoge.net，同時(shí)它請(qǐng)求taosha.cc進(jìn)行上傳和升級(jí)提醒。在我們的實(shí)驗(yàn)中，服務(wù)運(yùn)行但只返回了404，應(yīng)該是開發(fā)者在維護(hù)新的版本。

Google似乎已經(jīng)注意到這個(gè)App，“ShareIt”已經(jīng)從Google應(yīng)用商店平臺(tái)移除了。目前大家還是謹(jǐn)慎下載。

總結(jié)

這是一個(gè)家族式惡意廣告軟件，可能是由中國開發(fā)者寫的，也有可能是被搞黑產(chǎn)的人控制了。

在此，我們鄭重的提醒您：

謹(jǐn)慎點(diǎn)擊來自電子郵件/短信/網(wǎng)站/廣告的超級(jí)鏈接;

不要安裝來自非官方渠道的應(yīng)用;

及時(shí)更新Android設(shè)備。

參考鏈接

[1] https://www.fireeye.com/blog/threat-research/2015/09/guaranteed_clicksm.html

[2] https://github.com/trevd/android_root

[3] https://github.com/saurik/mempodroid

[4] https://play.google.com/store/apps/details?id=cc.taosha.toolbox.shareit

附錄1

附錄2

Owner: CN=tao sha, OU=IT, O=taosha.cc, L=Shenzhen, ST=Guangdong, C=86
SHA1: EF:A5:C2:18:9C:21:4B:A8:21:90:4C:10:6A:B5:77:53:0F:22:00:62
Owner: CN=hexy_root_009, OU=hexy_root_009, O=hexy_root_009, L=hexy_root_009, ST=hexy_root_009, C=hexy_root_009SHA1: E3:BD:4B:4F:38:7C:1A:A8:C0:4C:98:B2:B2:B1:B0:CF:33:5E:71:BC
Owner: CN=keke_root_025, OU=keke_root_025, O=keke_root_025, L=keke_root_025, ST=keke_root_025, C=keke_root_025SHA1: 41:F4:9B:14:E9:8A:7C:EF:5E:BF:D9:9C:8F:58:43:48:45:BE:12:B2
Owner: CN=kiss, OU=kiss, O=kiss, L=hangzhou, ST=zhejiang, C=86SHA1: 72:62:C5:38:78:81:B1:10:51:B3:D3:B3:63:B5:AC:F9:B9:8F:6E:B9
Owner: CN=google, OU=google, O=android, C=CNSHA1: E9:20:9A:53:9B:C7:41:22:1D:53:37:FE:FA:9E:26:59:6C:3D:08:96
Owner: CN=wilson, OU=land, O=land, L=hangzhou, ST=zhejiang, C=86SHA1: E5:58:C9:BA:6A:A3:D1:AC:2A:12:5B:94:C6:F6:02:2F:EE:0D:19:39
Owner: CN=hzckgames, OU=hzckgames, O=hzckgames, L=hangzhou, ST=zhejiang, C=86SHA1: 49:D2:51:A6:67:CC:9D:C2:9D:AB:FA:E8:D3:85:44:FF:B0:59:BC:90
Owner: CN=hong, OU=fjwy, O=fjwy, L=zhejiang, ST=zhejiang, C=CNSHA1: 89:81:E2:B0:30:A9:A4:60:5D:B2:4B:E4:31:59:A3:01:73:1C:C6:53