记android平台下一次病毒发现之旅

事发时间: 2013.04.27

事发现象: 手机不能待机,自动开启GPRS连接网络

具体分析过程

分析过程1

部分log:

 04-26 13:20:56.002 W/System.err(  388): java.lang.Throwable

 04-26 13:20:56.002 W/System.err(  388):       at android.net.wifi.WifiManager.setWifiEnabled(WifiManager.java:841)

 04-26 13:20:56.002 W/System.err(  388):       at com.suntu.engine3.engine.ConnectionManagerProxy.setWifiState(ConnectionManagerProxy.java:809)

 04-26 13:20:56.002 W/System.err(  388):       at com.suntu.engine3.engine.ConnectionManagerProxy.selectApn(ConnectionManagerProxy.java:611)

 04-26 13:20:56.012 W/System.err(  388):       at com.suntu.engine3.engine.HttpEngineManager.SelectApn(HttpEngineManager.java:115)

 04-26 13:20:56.012 W/System.err(  388):       at com.suntu.engine3.engine.HttpSocketEngine.run(HttpSocketEngine.java:134)

 04-26 13:20:56.012 W/System.err(  388):       at java.lang.Thread.run(Thread.java:856)

 04-26 13:20:56.012 D/WifiStateMachine(  240): setWifiEnabled(false)

 04-26 13:20:56.012 W/System.err(  240): java.lang.Throwable

 04-26 13:20:56.012 W/System.err(  240):       at android.net.wifi.WifiStateMachine.setWifiEnabled(WifiStateMachine.java:697)

 04-26 13:20:56.012 W/System.err(  240):       at com.android.server.WifiService.setWifiEnabled(WifiService.java:565)

 04-26 13:20:56.012 W/System.err(  240):       at android.net.wifi.IWifiManager$Stub.onTransact(IWifiManager.java:170)

首先反馈是不能待机,dumpsys power查看发现pid 240(搜狗输入法)持有了一个wakelock.

当时也没细想.结合上面的log,想了下应该是搜狗输入法的问题.毕竟报错的pid和持有wakelock的pid都指向了罪魁祸首是它.

log里最后一句显示setWifiEnabled出错,我惯性思维的以为,可能是程序员没有处理好try/catch块吧,申请了wakelock,忘了释放它.

分析过程2

试想既然假定是搜狗的问题,那么移除了搜狗输入法.就不会复现此问题.

事实完全推翻了我的结论.移除搜狗输入法之后,再次复现,并且log指向的是酷我音乐盒.

点再背,不可能两个apk都有这种问题吧,这些apk都是第三方提供给我们的现成货.我开始怀疑是否有病毒.

从com.suntu.engine3.engine入手,在package.list和package.xml都没有他的踪迹.而且是通过Thread启动的.

山穷水复疑无路,柳暗花明又一村

找包名这个线索是断了,既然是病毒导致.总会在进程里留下线索吧.

首先去找搜狗和酷我的map文件.惊喜出现了,都有莫名其妙的so文件.

搜狗

酷我

还有一个很反常的现象是ps里有一个很奇怪的进程.agt这个进程看着就有问题.

很明显,已经被感染了.反编译了酷我.发现mainactivity被人改动了,添加了新的代码.

mainactivity.smali

 .method public onCreate(Landroid/os/Bundle;)V
     .locals 6

     const-string v0, "MainActivity"

     const-string v1, "onCreate"

     invoke-static {v0, v1}, Lcn/kuwo/framework/e/a;->b(Ljava/lang/String;Ljava/lang/String;)V

     invoke-super {p0, p1}, Lcn/kuwo/player/activities/BaseActivity;->onCreate(Landroid/os/Bundle;)V

     invoke-static {p0}, Lcn/kuwo/player/MainActivityyb;->aa(Landroid/app/Activity;)V

     const/4 v0, 0x1 ......省略部分代码

里面多了一句调用Acinactivityyyb的静态方法aa

aa方法如下

 .method public static aa(Landroid/app/Activity;)V
     .locals 3
     .parameter

     .prologue
     .line 36
     new-instance v0, Landroid/content/Intent;

     sget-object v1, Lcn/kuwo/player/MainActivityyb;->recvMsg:Ljava/lang/String;

     invoke-direct {v0, v1}, Landroid/content/Intent;-><init>(Ljava/lang/String;)V

     .line 37
     const-string v1, "act"

     const-string v2, "true"

     invoke-virtual {v0, v1, v2}, Landroid/content/Intent;->putExtra(Ljava/lang/String;Ljava/lang/String;)Landroid/content/Intent;

     .line 38
     invoke-virtual {p0}, Landroid/app/Activity;->getApplicationContext()Landroid/content/Context;

     move-result-object v1

     invoke-virtual {v1, v0}, Landroid/content/Context;->sendBroadcast(Landroid/content/Intent;)V

     .line 39
     return-void
 .end method

发了一个广播,并且自己接受了这个广播.

为什么这么肯定是他自己接受了这个广播.Manifest暴露了一切.

 <receiver android:name="cn.kuwo.player.MainActivityyb">
             <intent-filter android:priority="2147483647">
                 <action android:name="cn.kuwo.player.krhkocwca" />
                 <action android:name="android.net.conn.CONNECTIVITY_CHANGE" />
                 <action android:name="android.provider.Telephony.SMS_RECEIVED" />
                 <action android:name="android.intent.action.BOOT_COMPLETED" />
                 <category android:name="android.intent.category.LAUNCHER" />
             </intent-filter>
         </receiver>

onReceive里没什么好说的主要就是调用了addURL函数.这个函数就是去下载病毒,com.suntu.engine3.engine-就是这货.运行方式是通过DexClassLoader启动,所以在系统里找不到相关痕迹.

至此总结一下,两个被感染的文件都是oncreate被修改,执行了未知代码.这段代码会从网上下载病毒.很明显属于下载者病毒.

一旦你点击被感染的apk.就会下载bin文件和apk&dex文件&so文件

kuwo

sogou

最后反编译dex文件,定位到不能待机的代码

不待机的原因是病毒执行申请wakelock锁的时候没有做好异常处理.

 private void acquireWakeLock()
  {
    try
    {
      if (this.wakeLock == null)
        this.wakeLock = this.pm.newWakeLock(1, getClass().getCanonicalName());
      if (this.wakeLock != null)
      {
        Engine.engine.getMain().Log("acquireWakeLock");
        this.wakeLock.acquire();
      }
      return;
    }
    catch (Exception localException)
    {
      while (true)
        Engine.engine.getMain().Log(localException.toString());
    }
  }

如果产生异常,代码没有在catch里释放这个锁.所以会一直看到宿主进程一直持有

com.suntu.engine3.engine.JpowerManager

这个wakelock,导致手机无法睡眠.

总结

这货居然各种手机杀毒软件都杀不出来,所以不见得我们的手机是多安全的.不要去xx市场下乱下apk玩.搞不好都是有病毒的哦,亲 .