從2017年4月份開始，我們就一直在觀察這個(gè)通過Google Play應(yīng)用商店進(jìn)行傳播的新型惡意軟件。與其他root型惡意軟件不同，這款惡意軟件不僅會(huì)將自己的模塊植入目標(biāo)系統(tǒng)中，而且它還會(huì)將惡意代碼注入至系統(tǒng)運(yùn)行時(shí)庫。卡巴斯基安全實(shí)驗(yàn)室將這款惡意軟件標(biāo)記為Trojan.AndroidOS.Dvmap.a。

Dvmap分析
實(shí)際上，通過Google Play應(yīng)用商店來傳播惡意軟件已經(jīng)不是什么新鮮事了。比如說，從2016年9月至今，Ztorg木馬已經(jīng)上傳至Google Play大約100多次了。但Dvmap是一款非常特殊的Android root惡意軟件，它使用了很多新的攻擊技術(shù)，其中最有意思的是它竟然能夠?qū)�惡意代碼注入至目標(biāo)設(shè)備的系統(tǒng)庫中，例如libdmv.so或libandroid_runtime.so等等。
這也使得Dvmap成為了歷史上首個(gè)能夠在設(shè)備運(yùn)行過程中向系統(tǒng)庫中注入惡意代碼的Android惡意軟件。目前它在Google Play應(yīng)用商店中的下載量已經(jīng)超過了5萬次。目前，卡巴斯基實(shí)驗(yàn)室已經(jīng)將該木馬報(bào)告給了Google，Google也在收到報(bào)告后的第一時(shí)間將其從應(yīng)用商店中移除了。

為了成功繞過Google Play應(yīng)用商店的安全檢測，這款惡意軟件的開發(fā)者使用了一種非常有意思的方法：他們在2017年3月底向應(yīng)用商店上傳了一個(gè)干凈的App，隨后又對(duì)這款A(yù)pp進(jìn)行了更新，并將原本的代碼替換成了惡意代碼，操作完成之后他們會(huì)在同一天向Google Play重新上傳一個(gè)干凈版本的App。研究人員通過觀察發(fā)現(xiàn)，攻擊者在4月18日到5月15日之間至少進(jìn)行了5次這樣的上傳和更新操作。
所有的惡意Dvmap App都擁有相同的功能，它們首先會(huì)對(duì)App安裝數(shù)據(jù)包中assets文件夾下的一些歸檔文件進(jìn)行解密，然后利用這些文件來啟動(dòng)惡意可執(zhí)行文件（文件名包含“start”）。

有趣的地方就在于，該木馬甚至支持Android的64位版本，這就非常罕見了。下圖為該木馬選取32位和64位兼容文件的部分代碼：

所有的加密文件可以被分為兩大類：第一類由Game321.res、Game322.res、Game323.res和Game642.res組成，惡意軟件在攻擊的初始階段需要使用到這些文件；第二類由Game324.res和Game644.res組成，這些文件用于攻擊的主要階段。
初始階段
在這個(gè)階段中，木馬會(huì)嘗試獲取目標(biāo)設(shè)備的root權(quán)限并安裝某些模塊。這個(gè)階段中所要用到的歸檔文件都包含相同的文件，但除了一個(gè)名叫“common”的文件之外。這是一個(gè)本地root利用包，而且該木馬會(huì)使用4種不同的漏洞利用包文件，其中3個(gè)針對(duì)的是32位系統(tǒng)，另一個(gè)針對(duì)的是64位系統(tǒng)。如果這些文件成功獲取到了root權(quán)限，該木馬將會(huì)向目標(biāo)系統(tǒng)中安裝一些惡意工具。除此之外，它還會(huì)安裝惡意App“com.qualcmm.timeservices”。
這些歸檔文件中包含一個(gè)名叫“.root.sh”文件，而這個(gè)文件代碼的注釋部分竟然寫的是中文：

主要階段
在這個(gè)階段中，該木馬會(huì)通過Game324.res或Game644.res啟動(dòng)之前的“start”文件。它會(huì)檢測目標(biāo)設(shè)備所安裝的Android版本，然后再?zèng)Q定攻擊哪一個(gè)庫。對(duì)于Android 4.4.4或更老的版本，該木馬會(huì)修改libdvm.so中的_Z30dvmHeapSourceStartupBeforeForkv方法，對(duì)于Android 5及其以上版本，它將會(huì)修改libandroid_runtime.so中的nativeForkAndSpecialize方法。這兩個(gè)庫是跟Dalvik和ART運(yùn)行時(shí)環(huán)境相關(guān)的系統(tǒng)運(yùn)行時(shí)庫。在修改代碼之前，該木馬會(huì)對(duì)原始庫進(jìn)行備份，備份命名格式為bak_{原始名稱}。下圖為修改過后的libdvm.so：

在修改代碼的過程中，該木馬會(huì)用惡意代碼重寫現(xiàn)存的代碼，然后它所要做的就是執(zhí)行／system／bin／ip了。這是非常危險(xiǎn)的，因?yàn)檫@種代碼重寫（覆蓋）行為可能導(dǎo)致會(huì)導(dǎo)致設(shè)備發(fā)生崩潰。接下來，該木馬會(huì)將修改過的庫文件放回系統(tǒng)目錄中，然后替換掉原始的／system／bin／ip。這樣一來，Dvmap就可以確保它的惡意模塊能夠以系統(tǒng)權(quán)限執(zhí)行。但是惡意ip文件中并不包含原始ip文件中的任何方法，這也就意味著所有需要使用這個(gè)文件的app都會(huì)失去一部分功能，有時(shí)甚至還會(huì)發(fā)生崩潰。
惡意模塊 -“ip”
修改過的系統(tǒng)庫將會(huì)執(zhí)行這個(gè)惡意文件，它可以通過修改系統(tǒng)設(shè)置來關(guān)掉系統(tǒng)的“VerifyAPPs”功能并允許用戶從第三方商店安裝應(yīng)用。除此之外，它還可以通過注入控制命令在與用戶沒有任何交互的情況下給“com.qualcmm.timeservices” App提供設(shè)備管理員權(quán)限，對(duì)于惡意軟件獲取設(shè)備管理員權(quán)限來說，這種方法還是很罕見的。
惡意App – “com.qualcmm.timeservices”
正如我之前所提到的，在攻擊的初始階段，該木馬需要安裝“com.qualcmm.timeservices” App。它的主要目的是下載歸檔文件并執(zhí)行其中的“start”代碼。在我們的分析過程中，這款A(yù)pp能夠成功連接到其后臺(tái)C&C服務(wù)器，但當(dāng)時(shí)它并沒有接收到任何命令。所以目前我們還不清楚它執(zhí)行的到底是哪種文件，但肯定是惡意文件或廣告文件。總結(jié)
這款名叫Dvmap的木馬主要通過Google Play應(yīng)用商店進(jìn)行傳播，并且使用了多種非常危險(xiǎn)的技術(shù)，包括修改系統(tǒng)庫代碼。它會(huì)在目標(biāo)系統(tǒng)中安裝各種不同功能的惡意模塊，由此看來，它的主要目標(biāo)就是感染目標(biāo)系統(tǒng)，然后以root權(quán)限執(zhí)行那些從惡意C&C服務(wù)器下載來的惡意文件，但我們目前還無法得知具體的惡意文件類型。
就目前的分析來看，我們認(rèn)為Dvmap的開發(fā)者仍在測試這款惡意軟件，因?yàn)樗麄儸F(xiàn)在所使用的技術(shù)很有可能會(huì)導(dǎo)致受感染系統(tǒng)發(fā)生崩潰。因此，我們系統(tǒng)能夠在這款惡意軟件的早期攻擊階段就將它公之于眾，這樣一來，我們將有更加充足的時(shí)間來設(shè)計(jì)出更好的應(yīng)對(duì)方案。
MD5
43680D1914F28E14C90436E1D42984E2
20D4B9EB9377C499917C4D69BF4CCEBE