Client病毒详细技术分析报告解读

 从2015年下半年开始，猎豹移动监测到一种名为 Client 的病毒木马感染了大量手机。通过进一步监测，猎豹移动安全实验室发现该病毒在近几个月呈现出爆发式增长态势，病毒样本量迅速增加，尤其是2016年1月，该病毒样本增长超过4万个。目前，仅猎豹监控到的样本量已经达到8万多个。

该病毒近期来迅速泛滥，目前在国内感染量已经超过7万（每日活跃设备量），并且呈现增长趋势。

该病毒感染范围遍布全国，受影响最严重的省份主要集中在沿海地区， 如山东，浙江，广东等省。

感染Client 病毒最多的手机系统版本为安卓4.4，占总感染量的70%以上，部分5.0系统也受到影响，但占比不到1%。

该病毒主要通过.视频软件传播，诱惑用户下载安装。猎豹移动安全实验室监测发现，多家广告平台都对带有病毒的.视频软件进行推广。

病毒的两大危害：暗扣费和频繁弹广告

通过对该病毒的一系列分析， 猎豹移动安全实验室发现该病毒会偷偷在后台发送短信为用户订购手机增值业务，并且会拦截扣费短信，导致用户根本无法发现自己的手机被扣费，给用户造成金钱损失。此外，Client病毒会在被感染的手机中大量加载恶意软件推广广告， 并强制用户安装，大量消耗用户流量，并且给用户带来更多危害更大的恶意应用。

更有甚者，Client病毒可以对用户手机进行root提权，卸载第三方root管理工具，然后向用户系统注入恶意软件，使得病毒将很难被清除。最可怕的是，该病毒可以通过技术手段将自己加入国内某手机安全软件的白名单，逃避查杀。

针对Client等类似恶性病毒，猎豹移动专门推出了针对各种顽固root病毒的专杀工具，可一键查杀该木马，感染该病毒的用户请下载查杀工具予以清除。下载链接：http://cn.cmcm.com/activity/push/cm/stk/1/

Client病毒恶意行为详解：

病毒后台订购手机增值业务，给用户造成一定的经济损失；模拟加载广告，使用户消耗大量的流量；以.的方式弹窗诱导用户安装携带的恶意软件；对用户手机进行root提权，卸载第三方root管理工具，通过root权限后向用户系统注入恶意软件、向杀软数据库白名单插入恶意软件信息，绕过杀软查杀，将su文件释放到系统/system/bin/、/system/xbin/、/system/etc/目录伪装，释放覆盖系统install-recovery.sh开机脚本，通过chattr +i指令防止删除。

病毒下载并动态加载dex，从服务器获取扣费短信信息，后台发送短信，在用户位知情的情况下达到恶意扣费的目的。

从服务器获取dex下载地址（http://dg.ogengine.com/wmserver/WMUpdate）

dex下载地址http://oss.aliyuncs.com/wmapp/update/d_data_wimipay.dat

向指定号码发送短信：

从服务器（http://paysdk.ogengine.com/wimipay/getPhoneUrl）获取短信服务器地址：

短信服务器地址：http://112.124.55.70:8018/init/moburl

获取本机手机号码（http://112.124.55.70:8018/init/mob）：

开始恶意订购：

从指定服务器获取短信信息：

第一次访问：http://paysdk.ogengine.com/wimipay/Init（此服务器返回扣费服务器地址）

第二次访问：http://121.199.6.130:9093/control/Windows（此服务器返回扣费信息及扣费        短信服务器地址）

第三次访问：http://121.199.6.130:9093/control/Control（此服务器返回扣费短信信息）。

(如下图)病毒向10658008101825955 SP号码发送业务订购指令，可以直接    造成用户话费的损失，同时拦截相关短信。

扣费执行结果提交到服务器：http://121.199.6.130:9093/ldysNew/data2

病毒以.的方式诱导用户安装自身携带的恶意软件。

携带的恶意软件：

以.的方式诱骗用户安装携带的恶意APK：

病毒下载并加载dex。

从服务器（http://dg.dataface.cn/wmwkupdate/WMADUpdate）

获取dex下载地址（http://oss.aliyuncs.com/wm-ad/update/d_data_ogad.dat）：

后台模拟操作：

从服务器获取广告服务器和操作指令，后台访问广告服务器，并进行模拟点击、后退等    操作。

病毒运行后加载libMeggaRun.so文件，此文件释放加密的.dex文件到内存中。dex文件获取手机信息提交到服务器获取ROOT工具及ROOT提权方案，对手机进行ROOT提权操作。提权成功向用户系统注入恶意软件、向杀软数据库白名单插入恶意软件信息，绕过杀软查杀，释放覆盖系统install-recovery.sh开机脚本，通过chattr +i指令防止删除。

释放加载dex：

dex下载加密的root提权工具压缩包并根据不同的手机设备下载对应的ROOT提权方    案：

获取ROOT工具下载地址：

http://abcll0.us:9009/gamesdk/doroot.jsp

http://my2014.us:9009/gamesdk/advert.jsp

ROOT工具：

ROOT成功后会执行多个恶意脚本对手机系统造成严重的损害（如下分析）：

病毒向手机系统中释放并执行恶意软件（如下图），使用户不能正常卸载。

病毒卸载第三方ROOT管理工具、替换开机脚本，而且为了避免系统空间不足，直接    删除用户的系统应用，对自身的ROOT管理工具进行伪装和防删除操作（如下图）, 使    用户很难彻底删除病毒。

释放覆盖系统install-recovery.sh开机脚本，通过chattr +i指令防止删除

删除系统Maps、YouTube等应用，为病毒提供更多的系统空间。

这个病毒App的名字就是Client, 因为这个是在系统空间，所以用户在没有root的情况下是不能够直接卸载的，这个病毒主要的行为就是进行应用推广，直接静默安装应用到用户的手    机中，为病毒作者持续的提供收入。

病毒通过监听系统广播启动：    

GuardDatabase数据库结构：