游戏也会自动root手机?你要小心

图标:ic_launcher

应用名:糖果四溅

样本MD5:cec308aa0730e36e3cf2fff872b04ab8

来源:用户样本反馈

  • 前一段时间收到一位用户反馈的如上样本,本以为只是一个简单的游戏应用,但通过代码分析发现并非这样。
    • 样本在Nexus 5手机上安装打开,手机马上发烫,游戏加载时间非常长,点击游戏界面不久,手机死机,这里用到的rom为google原生ROM。
    • 简单的分析代码后发现代码已被插包,umeng为广告;ro为自动获取root的模块

Add_package

  • 重启后手机自带的Root模块已失效
  • 样本恶意功能解析:
  • java层代码ro包主要负责加载libtrjni.so来初始化root环境并试图自动root,root成功后会推送广告、推广应用、自动下载安装其它应用等:
  • 执行很多root权限命令,如更改系统App权限、重新挂载/system等

 

Istal

Etr

cmds

  • 有了root权限,将可为所欲为,做任何这个应用想做的事,下面看一下比较重要的root模块 – libtrjni.so

diag

 

  • Root模块也不复杂,用的是easyroot模块,主要是利用/dev/diag的内存溢出漏洞,该Root模块支持root的设备列表如下:
    • F-03D
      F-11D
      F-12C
      IS11N
      IS17SH
      ISW11K
      LT26ii
      LT26i
      SC-05D
      SCL21
      SO-05D
      URBANO PROGRESSO
      roamer2
  • 该类样本最近的一天感染量为420,其中中国感染量为398,下面为感染量最高的8个样本,如果您的手机装有相同的应该要特别注意。

Root_1消灭星星新春版,感染量206

Root_2糖果四溅,感染量45

Root_3消灭星星duang,感染量45

Root_4实况水果机,感染量43

Root_5美眉哪家强,感染量10

Root_6捕鱼好任性,感染量5

Root_7奔跑吧,小鸟,感染量2

Root_8教导女优,感染量2

  • 一般来自于网页、论坛的应用都不可信,所以尽量去官方网址、GooglePlay上下载应用更为安全,另外手机上访问网站自动下载的apk也不要轻易安装。
  • 该类病毒样本现已可查杀。
此条目发表在安全分类目录。将固定链接加入收藏夹。