近期我们团队截获了一款功能强大的专业间谍软件，它可以通过PC端远程控制中招用户的手机，控制指令高达二十多种，窃取用户手机通讯录，短信，照片及其它重要隐私数据。这个远控木马与去年知名的Android.Dendoroid木马家族手段非常相似，所以我们将其命名为Android.Dendoroid.B。

 

恶意样本运行流程：

一、主包“蓝牙服务”分析

‍‍1）、主包启动后首先申请root权限，并通过pm disable禁用安全软件。

‍‍

影响的安全软件有：

cn.opda.a.phonoalbumshoushou — 百度手机卫士
com.anguanjia.safe —安全管家
com.tencent.qqpimsecure — 腾讯手机管家
com.lenovo.safecenter — 联想乐安全
com.qihoo360.mobilesafe — 360卫士

‍‍2）、将系统目录挂载成可读写，从assets目录下释放PhoneSystemProvider.obb文件，拷贝到system/app目录下并重命名为PhoneSystemProvider.apk

‍‍

‍‍3）、监控PACKAGE_REMOVED广播，检测卸载的应用如果是“FindPhone”就重新释放安装assets目录下的PhoneSystemProvider.obb，否则就弹出伪造的清理垃圾界面。

‍‍

‍‍4）、伪造清理垃圾界面，同时推广软件。

‍‍

点击清理应用并无实际功能：

二、子包“FindPhone”分析

子包的主要功能是利用Droidwall的技术与安全软件对抗，并且与主包进行相互监控保护。子包运行后检测是否安装了指定的安全软件，如果是就将该安全软件加到Droidwall网络防火墙的黑名单中去。导致安全软件联网数据包被丢弃，对抗安全软件的云查杀、更新及各种联网操作。

Droidwall的实现原理就是linux的iptables规则，更多Droidwall：

项目地址：https://code.google.com/p/droidwall/
源代码下载地址：http://droidwall.googlecode.com/svn/

‍‍1）、当FindPhone启动后，监控PACKAGE_ADDED广播，如果新安装的不是主包“蓝牙服务”，并且手机中也未安装，则从远程服务器下载安装主包“蓝牙服务”。

‍‍

‍‍2）、获取手机中已安装的安全软件：

‍‍

获取的安全软件与主包“蓝牙服务”相同：

cn.opda.a.phonoalbumshoushou — 百度手机卫士
com.anguanjia.safe — 安全管家
com.tencent.qqpimsecure — 腾讯手机管家
com.lenovo.safecenter — 联想乐安全
com.qihoo360.mobilesafe — 360卫士

‍‍3）、设置黑名单模式

‍‍

‍‍4）、以黑名单模式构建DroidWall.sh，运行成功后即可禁用黑名单中安全软件的一切联网操作

‍‍

‍‍5）、脚本示例如下：

‍‍

‍‍6）、在真实环境中运行时的结果示例：

‍‍解释上图中的10045：每个应用安装后Android系统都会为该应用分配一个uid，10045是测试用机上分配给某安全软件的uid，可以看到将10045的3G和wifi的数据包全部拒绝(droidwall-reject)

在连接wifi的情况下，安全软件已无法自动更新。

‍‍7）、禁止指定应用弹出通知栏提示（此功能只在安卓4.2及后续版本中生效）

‍‍

被禁止的应用有：

com.mgyun.shua.su — ROOT大师
com.dianxinos.superuesr（猜测作者写错了，应该为com.dianxinos.superuser） — 百度授权管理
com.system.buletooth — 主包“蓝牙服务”

三、解决方案

目前对于已中招的用户可以通过如下两种方式清除此木马：

360系统急救箱-安卓手机木马专杀，下载地址：http://www.360.cn/jijiuxiang/

360卫士极客版，下载地址：http://geek.360.cn/

* 作者/360手机卫士（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）