“九头虫”病毒技术分析报告

一、背景介绍

近日，阿里移动安全收到多方用户反馈，手机中了一种难以清除的病毒。病毒一旦发作，设备将不断弹出广告，并自动下载、安装、启动恶意应用，最终设备衰竭而死，用户很难通过常规的卸载手段清除病毒。由于该病毒有多个版本演变并有起死回生之术，我们将该病毒命名为“九头虫”。

我们分析发现，“九头虫”病毒利用多家知名root sdk对设备提权，可轻松提权上万总机型，成功提权后获得设备最高权限，随后向系统分区植入多个恶意app，删除设备其他root授权程序、su文件，并替换系统启动脚本文件，实现“起死回生”同时保证病毒具备root权限，将自身插入某杀软白名单中，并禁用掉国内多家知名杀软，致使设备安全防护功能全线瘫痪。

中毒设备将作为“九头虫”病毒的僵尸设备，每天推送上百万广告，其点击率大概15%（主要是病毒自身的模拟点击），也就是说每天广告点击上10万次，再加上静默安装与欺骗安装，每成功安装激活赚取1.5~2元，如此收益不菲！

二、“九头虫”传播途径与感染数据统计

2.1、传播途径

最早我们截获到伪装成“中国好声音”应用的“九头虫”病毒，通过排查历史样本，我们发现大量“九头虫”变种病毒，其传播方式包括：伪装成热门应用、重打包生活服务类、色情诱惑类、系统工具类应用，比如伪装成“中国好声音”、“清理大师”、“新浪娱乐”等，以及色情应用“帮学姐洗澡”、“性感の嫩模”、“寂寞少妇”等，同时“九头虫”的恶意模块完全受云端控制，导致用户也不清除中毒来源。

传播病毒图标

2.2、感染数据统计

1、全国地区感染分布

对2016年初到2016年10月的监测统计数据显示，“九头虫”病毒累计设备感染量高达33万。从感染地区分布图中可以看出四川、广东是感染重灾区。

2、每月设备感染趋势九头虫”病毒爆发周期是4～5个月，在随后的4～5个月每月感染数下降，这正好也是病毒变种的一个周期。最近在8月初达到峰值，随后几月将是衰减期。

三、深入分析

“九头虫”病毒分为注入rom病毒和恶意推广两个模块，注入rom病毒是“九头虫”家族的最新变种，执行流程图如下。

3.1、病毒母包

母包的MyApp组件是恶意代码入口点，完成libOgdfhhiaxn.so加载和assets目录下xhmf文件解密加载，随后“九头虫”病毒分别进行注入rom病毒和恶意推广。

3.2、“九头虫”注入rom病毒

“九头虫”释放多个家族恶意应用，潜伏在系统应用中，频繁弹出恶意广告，严重干扰手机正常使用。注入rom病毒过程如下。

执行提权

首先获取root工具包。libOgfhhixan.so动态加载由assets目录下的Zvtwk文件释放的oko.jar。oko.jar子包联网请求提权工具下载地址，随后下载并本地解密获得提权工具包cab.zip。

提权工具包中文件以及功能如下表：

接下来加载执行root sdk既是data.jar文件，成功加载后“九头虫”会删除本地的cab.zip和data.jar文件。

动态加载执行data.jar图

从data.jar代码逻辑发现，“九头虫”病毒作者完全逆向重写了root精灵的rootsdk，根据设备型号等信息下载root-exp，其来源http://cdn.shuame.com/files/roots/xxx-id。这样直接非法利用厂商root方案，可轻松对上万种机型提权。

使用root精灵图

构建“免疫系统”

成功提权后，拿到设备至高权限，接下来构建自身“免疫系统”，执行如下操作。

（1）插入某杀软白名单

解密root工具包中的ql文件，获得将rom病毒写入某杀毒软件白名单的sql语句，通过工具包中的qlexec执行sql语句，下图将rom病毒插入杀软白名单来躲避监测。

（2）植入恶意app

将root工具包下的恶意app，以及libdataencrypt.so 植入系统目录，并使用chattr +ia命令使得用户无法正常卸载，最后以服务启动恶意app。注意下图红色框中，将rom病毒lol.qv907a.Cqenthyrusxncy.apk备份到/system/etc/rom.dat，该病毒会在su和sud文件的守护下，一直运行在设备rom中。随后的第5点详细分析。

（3）删除设备本身root相关文件

接续执行cl.sh脚本，删除设备本身root相关文件，保证设备上只有病毒拥有最高权限。

（4）禁用杀软

执行“pm disable”禁用多家知名杀毒软件。

pm disable com.qihoo360.mobilesafe
pm disable com.tencent.qqpimsecure
pm disable cn.opda.a.phonoalbumshoushou

（5）守护rom病毒

病毒通过替换系统服务，以致开机运行拷贝到/system/etc/目录下的守护模块，这里病毒替换了debuggerd和install-recovery.sh。这样深深植入rom的病毒，通过普通的恢复出厂设置，以及进入recovery&wipe data都无法清除。

3.3、“九头虫”恶意推广

恶意推广包括应用推广和广告弹屏点击。推广APP应用是病毒的主要目的，既可以推广正规应用赚取安装费用，也可以推广其他病毒安装到手机；广告弹屏也是病毒牟利的一种方式，每成功点击一次广告，广告主会支付推广费用给黑产。

静默安装

“九头虫”通过解析服务端返回的数据，对包含“silencePackageUrl”字段的应用进行静默安装。恶意推广数据来自http://in[.]stidreamtrip.com/ni.do，每次请求上传设备信息，包括目前位置、连接网络类型、设备号等。以下是将服务端返回的数据解密，获取推广的应用信息。

{"icon":"http://cdn[.]stidreamtrip.com//accurate/niicon//a52e15d0-0353-43a4-a684-d1199f682271.webp","imgs":"http://cdn[.]stidreamtrip.com//accurate/niadimg//2e528c28-9d09-4f5c-ad2e-0616f63a5c01.webp","silencePackageUrl":[{"packageName":"com.bd.SuperFish","url":"http://cdn[.]stidreamtrip.com/accurate/apk/89f7b2f7-6bd5-49e9-a236-49f4ddc9ab0e.apk"}],"appId":"","silenceDownLoad":1,"sonAppkey":"5761195a67e58ebe4d002eb2(友盟)","alert":1,"appkey":"0","adkind":0,"url":"","intervalTime":120000,"adPlatType":"loveApp","content":"caha123","title":"全屏Banner-caha123-0627","codeId":"","gid":"10000","pname":"","apkFileSize":0,"adType":1,"showNums":10}
{"icon":"http://cdn[.]stidreamtrip.com//","imgs":"http://cdn[.]stidreamtrip.com//","silencePackageUrl":[{"packageName":"com.fors.mpm","url":"http://cdn[.]stidreamtrip.com/accurate/apk/f823e088d9ff4481914c9cbd21700e49.apk"}],"appId":"","silenceDownLoad":1,"sonAppkey":"0","alert":1,"appkey":"0","adkind":0,"url":"","intervalTime":0,"adPlatType":"loveApp","content":"双周结算（每月1、16号）","title":"秀色可餐-0830","codeId":"","gid":"10056","pname":"","apkFileSize":0,"adType":1,"showNums":0}
{"icon":"http://cdn[.]stidreamtrip.com//","imgs":"http://cdn[.]stidreamtrip.com//","silencePackageUrl":[{"packageName":"com.letang.game.az","url":"http://cdn[.]stidreamtrip.com/accurate/apk/44915bcf98724663851faa75ab73dff9.apk"}],"appId":"","silenceDownLoad":1,"sonAppkey":"5-3-760","alert":1,"appkey":"0","adkind":0,"url":"","intervalTime":0,"adPlatType":"loveApp","content":"王美陶百度账号-56cbc86ee0f55a3a5e0026ae(友盟)","title":"全屏Banner-0818-WMT","codeId":"","gid":"10032","pname":"","apkFileSize":0,"adType":1,"showNums":0}

下图解析“silencePackageUrl”字段信息进行静默安装。

根据silencePackageUrl里的url字段，将apk 下载存放在/sdcard/android/data目录。在静默安装之前会从http://cdn.stidreamtrip[.]com/accurate/loveApp/xiaoaisup下载xiaoaisup文件，xiaoaosup是一个本地库，通过解密自身数据段还原出提权工具。

xiaoaisup释放的各文件功能及作用如下表格：

realroot用来解密释放root-exp，并执行提权。对释放出root-exp分析发现，“九头虫”病毒竟然使用root大师的某一方案。

设备成功root后，使用自身释放的ppm对应用进行静默安装。

恶意弹屏广告

“九头虫”病毒集成“广点通”和“bdssp”，默认以CPC（点击计费）计费模式，也就是只要广告被点击，广告主就要支付费用。广告弹屏形势包括全屏、横幅、banner、插屏、信息流、应用墙广告。病毒每各一分钟请求广告数据，并模拟用户点击，这样用户设备将做为“九头虫”病毒的僵尸设备，不断为黑产刷广告点击。

四、“九头虫”C&C端分析

hxxp://115[.]159.20.127:9009/gamesdk/doroot.jsp

hxxp://rt-10019850[.]file.myqcloud.com/83330905/nocard0908/qv907apwedmmc001.zip

hxxp://cdn[.]shuame.com/files/roots/xxx-id

hxxp://in[.]stidreamtrip.com

hxxp://yxapi[.]youxiaoad.com

前两条来自国内某云，用来存放加密的提权工具包，第三条是病毒破解某知名root接口后，直接从root精灵下载root方案，这里我们主要分析最后两条域名。stidreamtrip.com站点用来存放加密root工具包xiaoaisup，以及恶意推广的数据。相关url如下：

hxxp://cdn[.]stidreamtrip.com/accurate/loveApp/xiaoaisup?[xiaoaisup提权工具包]

hxxp://cdn[.]stidreamtrip.com//accurate/niicon/a52e15d0-0353-43a4-a684-d1199f682271.png

hxxp://cdn[.]stidreamtrip.com//accurate/niadimg//2e528c28-9d09-4f5c-ad2e-0616f63a5c01.png

hxxp://cdn[.]stidreamtrip.com/accurate/apk/44915bcf98724663851faa75ab73dff9.apk

hxxp://cdn[.]stidreamtrip.com/accurate/apk/f823e088d9ff4481914c9cbd21700e49.apk

hxxp://cdn[.]stidreamtrip.com/accurate/apk/6f24ea54ad1642189545e0aeee0d202e.apk

hxxp://cdn[.]stidreamtrip.com/accurate/apk/9de7f70625e5416b8a7739db6f64baaf.apk

hxxp://cdn[.]stidreamtrip.com/accurate/apk/25205b91d6484fde961e5a9487346981.apk

hxxp://cdn[.]stidreamtrip.com/accurate/apk/89f7b2f7-6bd5-49e9-a236-49f4ddc9ab0e.apk

五、安全建议

“九头虫”病毒直接非法利用知名厂商root sdk，以致轻松入侵上万种机型，对于root厂商，应严格校验root 请求方，对如此危险的提权代码应得到严密保护，对于用户，尽量使用大厂商设备，及时做设备系统升级；日常使用手机过程中，谨慎软件内推送的广告；来源不明的手机软件、文件、视频等不要随意点击；定期使用钱盾等安全软件进行安全扫描。