360-“蜥蜴尾”——长老木马四分析报告

“蜥蜴尾”——长老木马四分析报告随着移动端安全软件对APK的查杀能力趋于成熟以及Google对Android安全性重视的提高，病毒与反病毒的主战场已逐渐从APP层扩展到Linux底层。而且病毒作者也开始把PC端的病毒自我保护手段运用到移动端上，在移动端大量使用了免杀、加密、隐藏、反虚拟机等传统PC端病毒自我保护技术。但是之前一直还未出现过通过感染技术实现自我保护的病毒，此次，360安全团队首次发现了在Android系统中通过感染方式隐藏自身恶意代码的木马病毒——长老木马之四。一．长老四之前世今生去年11月份，360安全团队截获了恶意手机木马“长老三代”，详细剖析挖掘了长老木马的整个有机生态链。并从传播源头开始进行强力打击，致使猖狂一时的长老木马迅速地消声灭迹。近期360安全团队发现改头换面的新版长老木马又“重出江湖”。分析后发现，木马与“长老三代”有紧密的关系，在长老木马三代“疯狂崛起”时，以其子模块的形式存在，功能有限，而且也不具备对抗安全软件的能力，因此，我们将其命名为“长老四代”。长老木马三代核心主体模块debuggerd与此子模块耦合度非常高。比如子模块由虚假debuggerd来启动，而且子模块运行时需要访问由假冒debuggerd下载生成的文件读取远程服务器地址，下载地址等。经过木马作者的“精心改进”后，子模块从“私生子”华丽“蜕变”为长老木马核心模块。二．进化篇与之前老版本相比，虽然在恶意行为特征上仍然以隐私劫取、恶意扣费为主，但是自我保护与对抗安全软件方面有较大技术突破。例如，在移动安全领域首次采用了静态感染技术，感染系统运行依赖的lib文件，加大了查杀难度。此外，还采用相似文件路径欺骗法、样本MD5自变化等传统PC端的病毒技术。下图的文件MD5分别为778ff1b54aaf88075523f1a8b7c233f9、3a93af95ec45aabb44018fdc4dd34243。