225
技術社區[雲棲]
濫用Accessibility service自動安裝應用
一、惡意應用簡介:
近年許多的android市場實現免root安裝應用,也就是下載完成立即自動安裝,而黑產界也同樣利用該技術在進行惡意推廣,靜默安裝。最近攔截到大量惡意應用利用係統AccessibilityService靜默安裝應用。一旦惡意的Accessibility服務被激活,惡意應用將彈出廣告,即使用戶關閉彈出的廣告該應用程序也會在後台下載,隨後自動安裝推廣的惡意應用。
二、AccessibilityService介紹:
AccessibilityService作用:
Android Accessibility用於那些由於視力、聽力或其它身體原因導致不能方便使用Android智能手機的用戶,Android提供了Accessibility功能和服務幫助這些用戶更加簡單地操作設備。開發者可以搭建自己的Accessibility服務,這可以加強應用的可用性。開啟AccessibilityService後應用通過它能實時地獲取當前操作應用的窗口元素信息,並能夠雙向交互,既能獲取用戶的輸入,也能對窗口元素進行操作,比如點擊按鈕。
AccessibilityService的使用場景:
Android應用市場使用android Accessibility來免root安裝應用;近來火熱的搶紅包應用也用使用AccessibilityService自動搶紅包。
三、惡意應用分析
我們監測到一款名為“WiFi密碼查看器(增強版)”的應用濫用AccessibilityService。應用啟動後誘導用戶開啟“WIFI信號增強服”,其實就是開啟惡意應用自身的AccessibilityService;以查看WIFI密碼讓惡意應用獲得root權限,而這一切都是為該惡意自動安裝做鋪墊。下圖是該應用運行圖
圖應用啟動與引導開啟wifi信號增強界麵
應用啟動後會引導用戶開啟WIFI信號增強服務。應用跳轉到ACCESSIBILITY_SETTINGS界麵,提示用戶若要增強Wifi信號強度,請開啟WIFI信號增強服務。用戶啟用惡意應用的該服務之後,手機將瘋狂下載該應用雲端準備的應用包,並且在手機上自動安裝運行。
圖:啟動Accessibilty Service界麵
以下是惡意代碼運行流程
圖:惡意代碼雲信流程
流程圖解析
1.Wifi_list模塊,惡意應用利用wifi信號增強誘導用戶開啟Accessiblity Service;查看Wifi密碼誘導用戶給該應用賦予Root權限。
2.PushDownLoad模塊,該模塊由PushCoreService和ChapingCoreService服務組成,它們利用後台服務上傳設備信息,獲取待Push的應用包,下載應用包。
3.安裝模塊,惡意應用解析下載成功的包,然後彈出DialogPushActivity的廣告框,非Root利用 AccessilbityService安裝,root利用 pm install完成靜默安裝
4.daemon模塊, daemon是存放在raw目錄下的elf文件,它是一個守護進程,保護應用不被殺死。daemon原理是fork出子進程之後,讓子進程成為新的會話的領頭進程,並與其父進程的會話組和進程組脫離,緊接著就是在子進程中定時去啟動java層配置的任務。這裏它保證 PushCoreService和ChapingCoreService一直在後台運行。
以下對核心服務PushCoreService跟蹤分析
首先向目標服務器Post設備的imei,wifimac,SerialNumber信息,服務器返回uuid,並記錄在DefaultSharedPreference文件的”uuid”字段
圖:請求服務器獲取uuid
上圖最後調用this.m_context.handler.sendEmptyMessage(1),啟動線程GetPushThread線程。該線程向https://api.findzhibo.com/ad/open?appCode=1&appVersion=appVerion請求獲取當前應用的“open_status”字段。隻有“open_status”字段為True時,雲端服務器才會繼續運行,否則表示當前應用版本對應的雲端關閉。開啟狀態向https://api.findzhibo.com/index.php/ad/push,發送post請求,服務器返回待push的應用,寫入“cc_push_sp.xml”的push_json字段
圖:雲端惡意推廣app的push_json
圖:雲端請求獲取惡意推廣應用
上圖最後調用this.m_context.handler.sendEmptyMessage(2),解析push_json字段填充intent,啟動PushDownloadService進行應用下載和惡意廣告頁麵彈出。PushDownloadService解析appJson,獲取下載信息,隨後通過handler消息對應用下載安裝。
圖:解析appJson,進行下載安裝
Handler存在4個msg.what值,‘3’處理下載失敗;‘4’下載成功;‘5’彈出DialogPushActivity廣告框若開啟Accessiblity Service,啟動WifiZengQiangService; ‘6’彈出DialogPushActivity廣告框,啟動惡意推廣的應用。
首先發送“4“表示開始後台下載,隨後啟動下載安裝的線程。該線程檢查本次推送的應用是否已經被下載到指定目錄,sdcard/.wifi_ckq保存下載的應用包以及廣告圖片,appName經過md5加密。
圖:sdcard目錄存放下載的推廣應用包
圖:下載惡意推廣應用
下載完成後發送對應用靜默安裝,設備非root發送‘5’,root使用 pm install安裝應用隨後發送‘6’啟動應用。
圖:發送handler安裝應用
handler ‘5’,’6’都會啟動DialogPushActivity,
圖:啟動DialogPushActivity
DialogPushActivity其實就是一個ImageView,用戶在觸摸該界麵後推送的應用將被自動安裝
圖:DialogPushActivity界麵
啟動WifiZengQiongService自動安裝服務。之前的Ghosh Push,Kemoge等病毒家族,都是先對設備root然後植入推廣應用。而該惡意應用的AccessibilityService一旦被啟動,隨後應用彈出惡意廣告界麵,即使受害者關閉彈出的廣告,該應用程序也會被自動下載,隨後成功安裝。這個過程是調用係統的packageinstaller,獲取安裝界麵的按鈕位置,Accessibility提供的模擬用戶點擊功能,代替用戶自動點擊下一步,直到安裝結束。下圖是彈出的廣告圖,觸碰後即可開始下載安裝推廣的應用。下圖AccessibilityService裏喚起安裝界麵
圖:調用係統packageInstaller
AccessibilityService的onAccessibilityEvent方法不僅處理’com.android.packageinstaller’ 的event,還處理一些安全軟件,這樣該惡意應用將會完全控製安全軟件行為,也就意味著該應用可以自動安裝,啟動任意app,卸載任意應用,而且利用AccessibilityService控製安全軟件進行免殺。
圖:AccessibilityService控製指定應用包
在推廣的應用成功安裝過後,係統將會發出“android.intent.action.PACKAGE_ADDED”廣播消息,AppListenerReceiver類接受該廣播並啟動應用。
四、總結與建議
到此濫用AccessibilityService過程分析完畢。該應用已增強WIFI信號誘惑用戶啟用Accessibility,以及查看WIFI密碼是應用獲取root權限。在此提醒用戶謹慎給不受信應用開啟AccessibilityService,以免被惡意應用控製;最近火熱的搶紅包應用也會利用AccessibilityService,實現自動搶功能,我們已發現黑客利用‘自動搶紅包’誘導用戶開啟AccessibilityService控製手機,建議用戶在安全渠道下載搶紅包軟件,以免不必要的損失。
最後更新:2017-04-10 22:31:14