《九头虫》病毒技术分析报告——阿里安全

发布于2022年11月8日3年前

一、背景介绍

近日，阿里手机安全接到多位用户反馈，手机中了一个病毒，很难清理。一旦病毒爆发，设备会不断弹出广告，并自动下载、安装、启动恶意应用。最终导致设备失效死亡，用户很难通过常规的卸载手段清除病毒。我们将这种病毒命名为“九头虫”，因为它已经进化出多个版本，可以起死回生。

据分析，“九头虫”病毒利用几个知名的root sdk对设备进行授权，可以轻松授权上万个通用机型。授权成功后，获得设备的最高权限。然后在系统分区植入几个恶意app，删除设备的其他root授权程序和su文件，替换系统启动脚本文件，实现“复活”。同时确保病毒拥有root权限，将自己插入反恶意软件白名单，禁用国内众多知名反恶意软件。因此，设备的所有安全保护功能都是完整的。

作为九头虫病毒的僵尸设备，中毒设备每天会推送上百万条广告，其点击率在15%左右(主要是病毒本身的模拟点击)，也就是说广告每天点击10万次。再加上静默安装和欺骗性安装，每成功安装激活一次就能赚1.5~2元，利润巨大！

二、“九头虫”传播途径与感染数据统计

2.1、传播途径

最早我们拦截了伪装成“中国好声音”应用的“九头虫”病毒。通过查历史样本，发现了大量的“九头虫”变种病毒，其传播方式包括：伪装成热门应用、重新包装的生活服务、色情诱惑、系统工具应用，如伪装成“中国好声音”、“清理大师”、“新浪娱乐”等。以及“帮学”等色情应用

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfrq7d8nj20b101zmx9

传播病毒图标

2.2、感染数据统计

1、全国地区感染分布

根据2016年初至2016年10月的监测统计，九头虫病毒累计设备感染量高达33万。从疫区分布图可以看出，四川和广东是重灾区。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfrvbwakj20m80dwwis

2、每月设备感染趋势

从每月的设备感染趋势图可以看出，“九头虫”病毒的爆发期为4 ~ 5个月，随后的4 ~ 5个月每月感染人数减少，这只是病毒变异的一个周期。最近8月初达到高峰，接下来的几个月会是一个衰减期。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfrwji36j20m809u75f

三、深入分析

“九头虫”病毒分为两个模块：注入rom病毒和恶意推广。注射rom病毒是“九头虫”家族的最新变种。执行流程图如下。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfry2sf3j20m809xjtq

3.1、病毒母包

该包的MyApp组件是恶意代码的入口，完成libOgdfhhiaxn.so的加载和assets目录下xhmf文件的解密加载，然后将“九头虫”病毒注入rom病毒并恶意推广。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfrxxhfsj20gb0503z6

3.2、“九头虫”注入rom病毒

“九头虫”发布了多个家族恶意应用，潜伏在系统应用中，频繁弹出恶意广告，严重干扰了手机的正常使用。注入rom病毒的过程如下。

执行提权

首先获取根工具包。LibOgfhhixan.so动态加载资产目录中Zvtwk文件释放的oko.jar。oko.jar子包网络请求升幂工具的下载地址，然后在本地下载解密，获得升幂工具包cab.zip

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfrzfbwij20m803ndge

请求获取advance toolkit的下载地址图。

索赔工具包中的文件和函数如下：

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfrs2itgj20iw0h4di9

接下来，根sdk作为data.jar文件被加载和执行。加载成功后，九头虫会删除本地的cab.zip和data.jar文件。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfs0if6xj20m806rmyj

动态加载执行数据. jar图

从data.jar代码逻辑中发现，“九头虫”病毒作者完全重写了root genie的rootsdk，并根据设备型号等信息下载了root-exp，其来源于http://cdn.shuame.com/files/roots/xxx-id.通过这种方式，直接非法使用厂商的root方案，很容易主张数万个型号的权利。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfs4byhaj206809jt8o

使用根向导图

构建“免疫系统

成功解除权限后，获得最高权限

解密root工具包中的ql文件获得将rom病毒写入某杀毒软件白名单的sql语句，在工具包中通过qlexec执行sql语句。下图将rom病毒插入查杀软件白名单，规避监控。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfs3b76qj20l2043gmu

（1）插入某杀软白名单

将root toolkit下的恶意app和libdataencrypt.so植入系统目录，利用chatria命令使用户无法正常卸载。最后用服务启动恶意app。注意，在下图的红框中，将rom病毒lol.qv907a.Cqenthyrusxncy.apk备份到/system/etc/rom.dat，病毒会在su和sud文件的保护下，一直在设备rom中运行。下面第5点详细分析。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfs5pl09j20m80bpn5h

（2）植入恶意app

继续执行cl.sh脚本，删除设备本身的root相关文件，确保只有设备上的病毒拥有最高权限。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfs74gr5j20jg07m77l

（3）删除设备本身root相关文件

执行“pm disable”来禁用几个知名的防病毒软件。

pm禁用com.qihoo360.mobilesafe

pm禁用com . Tencent . QQ pimsece

pm禁用cn.opda.a.phonoalbumshoushou

（4）禁用杀软

病毒替换系统服务，使引导操作被复制到/system/etc/目录下的guardian模块，在这里病毒替换debuggerd和install-recovery.sh深度植入rom的病毒是无法通过恢复出厂设置和输入recoverywipe数据清除的。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfs8a4j5j20m80ddtb6

（5）守护rom病毒

恶意推广包括应用推广和广告屏幕点击。推广APP应用是病毒的主要目的，既可以推广正规应用赚取安装费用，也可以推广其他病毒安装在手机上；广告屏也是病毒盈利的一种方式。每一次广告点击成功，广告主都会向黑产支付推广费。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfsbfvxcj20go0er4ar

静默安装

九头虫通过解析服务器返回的数据，静默安装包含“silencePackageUrl”字段的应用程序。恶意推广数据来自http://in [.]stidreamtrip.com/ni.do,和每次您请求上传设备信息时，包括当前位置、连接的网络类型、设备编号等。下面是对服务器返回的数据进行解密，获取推广的申请信息。

{'icon':'http://cdn[。]STI dreamtrip . com//accurate/ni icon//a 52 e 15d 0-0353-43 a4-a684-d 1199 f 682271 . png '，' imgs':'http://cdn[。]STI dreamtrip . com//accurate/niad mg//2 e 528 c 28-9d 09-4f5c-ad2e-0616 f 63 a5c 01 . png '，' silencePackageUrl ':[{ ' package name ':' com . BD . super fish '，' url':'http://cdn[。]STI dreamtrip . com/accurate/apk/89 F7 b2f 7-6bd 5-49e 9-a236-49 F4 DDC 9 ab 0e . apk ' }]，Appid ':'，'静默下载':1，' son appkey ':' 5761195 a 67 e 58 EB 4d 002 EB 2(友情联盟)'，' alert': 1，' appkey':' 0 '，' Adkind': 0，' URL ':'。Adplattype':' loveapp '，' content':' cahah123 '，' title ':'全屏横幅-cahah123-0627 '，'代码id ':' '，' GID':' 1000 '，' pname ':' '，'

{'icon':'http://cdn[。]stidreamtrip.com//'，' imgs':'http://cdn[。]stidreamtrip.com//'，' silencePackageUrl ':[{ ' package name ':' com . fors . MPM '，' url':'http://cdn[。]STI dreamtrip . com/accurate/apk/f 823 e 088d 9 ff 4481914 c 9 CBD 21700 e 49 . apk ' }]，' appId ':' '，' silenceDownLoad':1，' sonAppkey':'0 '，' Adkind': 0，' URL ':' '，' Interval Time': 0，' AdPlatType':' LoveApp '，' Content ':'双周结算(每月1日和16日)'，' title ':'好吃的--

{'icon':'http://cdn[。]stidreamtrip.com//'，' imgs':'http://cdn[。]stidreamtrip.com//'，' silencePackageUrl ':[{ ' package name ':' com . letang . game . az '，' url':'http://cdn[。]STI dreamtrip . com/accurate/apk/44915 BCF 98724663851 FAA 75 ab 73 dff 9 . apk ' }]，' appId ':' '，' silenceDownLoad':1，' sonAppkey':'5-3-760 '，Alert': 1，' appkey':' 0 '，' adkind': 0，' URL ':' '，' interval time': 0，' adplattype':' loveapp '，' content ':'王百度账号-56ccbc86ee0f55a5e026

下图解析了静默安装的“silencePackageUrl”字段的信息。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfscg7w8j20m80ae40t

根据silencePackageUrl中的url字段，将apk下载存储在/sdcard/android/data目录中。在静默安装之前，将从http://cn.stidreamtrip [.]com/accurate/love app/xiaoi sup。Xiaoaoisup是一个本地库，它通过解密自己的数据段来还原升幂工具。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfsgbn9hj20ik0e0q77

OAI SUP发布的各个文件的功能和作用如下：

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfrsyte1j20ix06r754

Real用于解密和释放root-exp，并执行幂提升。对发布的root-exp的分析表明，“九头虫”病毒实际上使用了主root的方案。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfsffhcaj20m80abq4c

设备成功root后，使用自身发布的ppm静默安装应用程序。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfsgohvxj20m802caaf

恶意弹屏广告

九头虫病毒集成博通和bdssp。默认采用CPC(点击付费)的计费模式，即广告一旦被点击，广告主就要为广告付费。广告屏情况包括全屏、banner、banner、插屏、信息流、应用墙广告。该病毒每分钟请求广告数据，并模拟用户点击，使用户的设备会被用作九头虫病毒的僵尸设备，不断为黑产刷广告点击。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfshpenhj20jg05zgn3

3.3、“九头虫”恶意推广

hxxp://115[。]159 . 20 . 127:9009/gamesdk/do root . JSP

hxxp://rt-10019850[。]file . myq cloud . com/83330905/nocard 0908/qv 907 apwedmmc 001 . zip

hxxp://cdn[。]shuame . com/files/root/XXX-id

hxxp://in[。]stidreamtrip.com

hxxp://yxapi[。]youxiaoad.com

前两个来自中国的一个云，用来存储加密的提电工具包。第三种是病毒在破解了一个知名的root接口后，直接从root向导下载root方案。这里主要分析后两个域名。Stidreamtrip.com网站用于存储加密根工具包xiaoaisup，以及恶意推广数据。相关的url如下：

Hx://cdn [。]stidreamtrip.com/accurate/loveapp/xiaoaisup[xiaoaisup赋能工具包]

hxxp://cdn[。]STI dreamtrip . com//accurate/ni icon/a 52 e 15d 0-0353-43 a4-a684-d 1199 f 682271 . png

hxxp://cdn[。]STI dreamtrip . com//accurate/niad mg//2e 528 c 28-9d 09-4f5c-ad2e-0616 f 63 a5c 01 . png

hxxp://cdn[。]STI dreamtrip . com/accurate/apk/44915 BCF 98724663851 FAA 75 ab 73 dff 9 . apk

hxxp://cdn[。]STI dreamtrip . com/accurate/apk/f 823 e 088d 9 ff 4481914 C9 CBD 21700 e 49 . apk

hxxp://cdn[。]STI dreamtrip . com/accurate/apk/6 f 24 ea 54 ad 1642189545 e 0 aeeee 0d 202 e . apk

hxxp://cdn[。]STI dreamtrip . com/accurate/apk/9de 7 f 70625 e 5416 b 8 a 7739 db 6 f 64 baaf . apk

hxxp://cdn[。]STI dreamtrip . com/accurate/apk/25205 b91d 6484 FDE 961 e5a 9487346981 . apk

hxxp://cdn[。]STI dreamtrip . com/accurate/apk/89 F7 b2f 7-6bd 5-49e 9-a236-49 F4 DDC 9 ab 0e . apk

通过域名备案查询，发现stidreamtrip.com是重庆一家广告公司。目前该网站主页无法访问，但存储的恶意文件可以下载。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfsiup1sj20l307w3zl

根据网站备案号，链接4个网站，负责人相同。目前，cn-dream.com的场地还没有使用。zpmob.com站点是重庆xx网络科技有限公司的主站，stidreamtrip.com站点是非法恶意推广的控制端，zhangad.com站点是其广告平台。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfsjne71j20l60cpwg4

我们继续跟踪域名whois历史中涉及的qq邮箱。下图假装是广告商和公司负责人聊天。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfsl2ylkj20go0a6jud

在公司的广告平台上找到一家公司的客服，和这家公司的客服对话如下图。《那还没有对外发布》也从9月份开始印证了“九头虫”病毒感染的下降趋势。

http://ww4.sinaimg.cn/large/a15b4afegw1f8xfru2w42j209g0gf778

四、“九头虫”CC端分析

“九头虫”病毒直接非法使用知名厂商的root sdk，使其轻松入侵上万款机型。对于根厂商来说，应该严格检查根请求者，应该严格保护这种危险的主张权利的代码。对于用户来说，尽量使用大厂的设备，及时升级设备系统；手机日常使用过程中小心软件中推送的广告；不要点击不明手机软件、文件、视频等。使用money shield和其他安全软件进行定期安全扫描。

登录

游客您好，欢迎来到黑客世界论坛！您可以在这里进行注册。