“舞毒蛾”木马演变报告

　　一、概述

　　近期，360移动安全团队监测到一款云控木马正在集中爆发。该木马家族最早于2015年2月被360移动安全团队捕获，目前已经累计样本超过1.2万个。由于该木马有多个版本演变并会下载多个恶意文件执行恶意行为，我们将该木马命名为“舞毒蛾”。

　　“舞毒蛾”木马是一个典型的云控木马，会联网下载恶意代码包并在本地释放提权代码，静默申请手机Root权限，不仅会向系统写入恶意文件，还会注入到系统进程，从而实现隐私窃取，私自下载、静默安装其他应用，频繁弹广告以及私自订阅扣费业务等多种恶意行为，给用户造成隐私泄露和经济损失。

　　我们研究发现“舞毒蛾”木马演变过程中不断增强自己提权模块的能力，在后期演变中增加了针对三星 Galaxy S6及采用MTK芯片手机的支持。

　　截至2016年2月底的监测统计数据显示，“舞毒蛾”木马累计感染量高达340余万。其中，三星和OPPP手机用户的感染量最大。

　　通过搜索引擎能够发现大量中招网友的反馈：

　　二、感染量

　　1、国内地区感染分布

　　360移动安全团队监测到从2015年2月到2016年2月底，“舞毒蛾”木马累计感染量高达340余万，国内感染量接近330万，从感染地区分布图中可以看出广东、河南是木马感染的重灾区。

　　2、全球地区感染分布

　　相对全球地区手机用户，“舞毒蛾”木马主要感染亚洲地区的国家，感染最严重的前三个国家是中国、印度和印度尼西亚。

　　3、感染手机品牌

　　从感染的手机厂商数据显示，三星和OPPO是感染最严重的手机品牌。由于“舞毒蛾”木马后期增加了针对三星 Galaxy S6及采用MTK芯片手机的支持，也是三星和国内主流采用MTK芯片的手机感染量大的原因之一。

　　三、传播来源

　　1、月增样本变化

　　截至到2016年2月底，360移动安全团队共捕获到“舞毒蛾”木马样本1.2万余个，从月捕获样本数量可以看出，“舞毒蛾”在2015年底开始呈现爆发式增长，仅2016年2月期间就捕获到近8000个。

　　2、传播来源统计

　　360移动安全团队研究发现，“舞毒蛾”木马主要借助名称具有诱惑性、图标暴露的色情播放器类恶意软件进行传播，色情播放器名称例如，OXPlayer、无码快播、18禁影院、无码快播、黄色快播、爱爱快播等等，由于色情播放器类恶意软件的数量已达千万级别，因此该木马的传播能力极强。

　　统计结果显示，“舞毒蛾”木马主要伪装成热门应用，例如，美图秀秀、小米便签、芒果卫视、天天消消乐、消灭星星等。

　　四、深入分析

　　1、木马流程图

　　“舞毒蛾”木马运行后，会联网上传配置信息，请求包含多个恶意文件的核心模块下载地址。在早期的版本中，其还会本地释放核心模块。

　　2、核心模块功能

　　360移动安全团队分析发现，“舞毒蛾”木马的核心模块共包含了八大功能。其中包括获取Root，篡改系统文件、恶意扣费、隐私窃取、恶意广告、静默下载安装其他应用六大恶意行为。同时，该木马还通过检测运行环境，监控文件变化进行自我保护;联网更新来实现功能升级。

　　1)获取Root

　　“舞毒蛾”木马会加载Root提权模块libgetroot.so，尝试利用多个系统漏洞，以获取Root权限。

　　2)篡改系统文件

　　创建以下文件及目录：

　　Ø /system/bin/xsxuxØ /system/xbin/xsxuxØ /system/bin/droidamdØ /system/etc/droidamdØ /system/bin/droiddbgØ /system/etc/debuggerdØ /data/andobs/obØ /data/andobs/ob.jarØ /data/andcort/cortØ /data/andcort/cort.jarØ /data/droidamd/droidgetØ /data/droidamd/lockØ /data/droidamd/wlogØ /data/droidamd/tmp

　　修改系统文件：

　　Ø /system/etc/install-recovery.sh

　　3)恶意扣费

　　释放libmms.jar、libmms.so及inject，并注入phone进程实现发送和屏蔽短信的功能。

　　屏蔽短信列表

　　4)恶意广告

　　“舞毒蛾”木马释放的恶意文件潜伏在系统应用中，频繁弹出全屏广告，严重干扰手机正常使用。

　　5)自我保护

　　“舞毒蛾”木马还会检查运行环境，试图对抗沙箱检测。

　　另外，还会创建自我保护线程，通过inotify_add_watch()监控“/system/bin”、“/system/etc”、” /system/app”目录下文件变化，防止被删除。

　　6)下载安装

　　“舞毒蛾”木马访问www.abcdododo.com/a/andob/getdata.php获取服务器指令，服务器指令经过异或算法解密后可以得到恶意软件的下载地址：http://120.26.129.140/android/rootapk/andob/app.zip。

　　静默安装应用

　　7)窃取隐私

　　“舞毒蛾”木马会窃取隐私，上传用户手机号码、IMEI、IMSI以及其他固件信息。

　　8)联网更新

　　联网下载加密的核心模块，本地进行解密，从而实现自我更新。

　　3、核心模块演变

　　360移动安全团队从“舞毒蛾”木马核心模块下载地址的变化，发现该木马核心模块五个典型的版本变化。

　　1)不同版本时间轴

　　通过对首个捕获的“舞毒蛾”木马样本持续关注，结合其下载地址的变化，我们在2015年底发现了后续的三个版本。值得一提的是，在今年年初发现的版本5，其下载地址变化更加有规律性，增加了日期信息。版本5虽然核心模块功能基本一致，但是更新更加频繁，几乎每天都在进行文件更新。

　　2)不同版本差异

　　木马作者从开发版本1到版本5的过程中，进行了多方面的改进。在木马对抗方面，对核心模块的隐藏方法进行不断升级;在木马恶意功能方面，随着释放文件个数的增加，执行的恶意行为更加全面;在木马结构方面，结构更加复杂，各模块间实现功能替补，相互保护。

　　3)提权漏洞

　　“舞毒蛾”木马演变过程中不断增强自己提权模块的能力，最初的版本仅使用了：

　　Ø VROOT –CVE-2013-6282[1]

　　Ø TowelRoot –CVE-2014-3153[2]

　　后续版本增加了针对三星Galaxy S6及采用MTK芯片手机的漏洞利用模块：

　　Ø PingPongRoot –CVE-2015-3636[3]

　　Ø Mtkfb –mt658x & mt6592[4]

　　五、溯源

　　1、C&C服务器关系

　　360移动安全团队在分析“舞毒蛾”木马C&C服务器过程中，发现与木马私自下载、更新、推广功能相关的多个服务器，都是由xiansheng xu注册，注册邮箱：weet2453@gmail.com;与核心模块下载相关的服务器，都是由Qiong Yang注册，注册邮箱：2770752877@qq.com。推广服务器域名关系如下图：

　　六、总结

　　360移动安全团队研究发现，联网下载带有提权功能的恶意包是木马出现的新趋势。这类木马结构复杂，一旦某个模块被删除，其他模块还会实现功能替补，达到各功能模块互相保护，难以彻底清除。用户可以通过相关手机急救应用彻底查杀可以有效针对此类木马查杀及系统文件修复，我们将继续关注此类安全威胁。