一、 简介
在今年10月份首届GeekPwn大赛上,来自KeenTeam的高手现场演示了Android手机在关机状态下被黑客通过听筒进行窃听的全过程。近日,百度安全实验室发现一款“关机窃听”病毒。该病毒通过Hook系统shutdown方法实现关机拦截,当用户关机时弹出自定义黑色界面,使手机处于“假关机”状态;后台窃取用户短信、联系人、通话记录、位置信息、通话录音,上传到服务器。
图1
二、 恶意行为
图2 流程图
该病毒关机窃听具体运行流程如下:
1、 请求Root管理员权限,获取管理员权限后,拷贝以下附带文件到系统目录
injector:完成进程注入。
libhook.so:调用ksremote.jar恶意代码
libhookjava.so:动态加载ksremote.jar
libshutdown.so:hook系统关机请求
ksremote.jar:hook系统关键服务,”假关机”界面伪装。
2、 调用injector可执行文件,将libhook.so、libhookjava.so、libshutdown.so文件分别注入到
system_ server系统服务进程。
3、在system_server进程调用libhookjava.so动态加载恶意子包ksremote.jar。
4、在system_server进程调用libshutdown.so完成关机HOOK;
5、在system_server进程调用libhook.so, libhook.so调用ksremote.jar中的相关方法 RSDServerImpl.hkshutdownmythod() 完成系统服务HOOK。
三、 详细分析
(1)、进程注入:调用injector可执行文件,将so文件注入到系统进程,
1、 请求Root管理员权限,获取管理员权限后,将raw包中的恶意文件拷贝到系统不同目录下;复制完成后,调用injector将so文件注入系统进程
图3
2、 运行injector将libhookjava.so和libhook.so文件注入system_sever系统进程;
其中,libhookjava.so提供hook_entry_java方法,libhook.so提供hook_entry方法和外部通信,主要是用来动态加载恶意文件ksremote.jar和类RSDServerImpl,并执行相关方法。
图4
(2)、so和jar文件的恶意行为:hook系统Binder并替换成指定Binder;Hook系统shutdown方法,制造“假关机”手机黑屏状态
1、 libhookjava.so将ksremote.jar子包注入system_sever进程,DexClassLoader动态加载子包中的类com.sd.hk.impl. RSDServerImpl
图5
2、 libhook.so调用同一进程中的ksremote.jar,DexClassLoader加载hkShutdownMethod方法:完成hook系统Binder,替换成指定Binder;
libhook.so加载hkShutdownMethod方法
图6
ksremote.jar hook系统Binder,并完成替换
图7 hook系统Binder
3、 libshutdown.so Hook系统reboot方法,拦截关机调用;
图8
4、 libhook.so DexClassLoader加载hkShutdownMethod ,注册BroadcastReceiver,hook住PowerManagerService电源服务,阻止屏幕亮起,弹出自定义的黑色界面,关机后使手机处于“假关机”状态
图9 注册广播接收器
图10 hook 住PowerManager电源服务
图11 自定义黑色关机界面
(3)窃取隐私
AndroidClientService发送定时器,注册广播接收器,触发恶意方法,窃取短信、联系人、通话记录、位置信息、通话录音等信息,并将隐私信息上传到远程服务器。
图12
原文地址:http://blog.csdn.net/androidsecurity/article/details/42082423