难以置信!雷电OS优化工具竟是……

2016-01-21 16:40

位于硅谷的安全公司Trustlook昨日发表了名为“‘雷电’速度谎言真相”的对360雷电OS及其附带应用的分析,揭穿了360利用这一和木马类似的工具伪装成“优化”工具欺骗用户,强行删除原有系统升级组件并在手机上留下后门、危害用户账户信息安全的真相。

以下是对Trustlook该分析报告的翻译

你以为是在手机上安装了一个“加速”工具,实际上你的手机已经被开了一个后门。

近日,一款名为“雷电OS”的产品利用奇虎360安全卫士等渠道进行推广,它声称安装后用户手机可提速30%并拥有更高的续航能力。

我们对雷电OS及其安装过程进行了技术分析,发现雷电OS事实上包含了一个“后门”功能,利用Fastboot在用户手机上强行刷入经过修改的Recovery映像文件。雷电OS还在用户不知情的情况下卸载了一些原有系统预装的必要工具,尤其是系统更新组件,这将给用户的手机带来大量安全隐患。

此外,雷电OS还在未经用户允许的情况下偷偷安装了雷电应用市场、雷电浏览器、雷电助手、雷电加速以及360安全卫士到手机上。更加恶劣的是,它“黑掉”了系统的原有签名使得上面那些应用被安装在系统SYSTEM分区下并拥有系统最高权限,用户很难自行删除。

这一切都建立在奇虎360安全卫士里面蒙骗用户“一键体验”的基础上,在整个安装过程中完全没有提醒用户相关风险,这些操作让用户手机的安全性几乎完全丧失。

分析之后,我们还发现研发雷电的两家公司“KuRuiMeng”和“CHIMA”事实上就是奇虎360的子公司。雷电OS还集成了若干奇虎360安全卫士的模块。

下面是对雷电OS的详细分析,以雷电OS的安装步骤为开始。

就像图1和图2所显示的,在Windows上安装奇虎360安全卫士后,右下角落里的“更多”就能找到雷电OS,点击即可打开安装窗口。

图1 奇虎360安全卫士中的雷电OS入口(步骤1)

图2 奇虎360安全卫士中的雷电OS入口(步骤2)

图3 奇虎360安全卫士中的雷电OS安装窗口

点击图3中绿色的“立即体验”按钮后,奇虎360安全卫士开始下载相关安装文件到C:\Documents and Settings\Administrator\Application Data\CleanAndroid文件夹下。

图4 开始在手机上安装雷电OS

经过监控雷电OS的下载过程,我们发现安装文件是由360CleanHepler.exe进程下载的,以及相关json文件中包含的下载信息(图5及表1)

图5 下载安装文件的360CleanHelper.exe

表1 包含下载信息的json文件

图6 刷机工具的下载信息

图7 刷机工具的压缩包信息

图8 Cleandroid文件夹中的刷机工具信息

图9 Cleandroid文件夹下Tools文件夹中的文件

由图7可见,雷电OS的安装过程实际上是利用Fastboot工具将recovery.img刷入手机,再利用adb调试工具远程安装apk。根据json文件包含的信息,雷电OS的下载地址为dl.so.keniub.com。

查看其IP(101.199.109.90)以及相关DNS信息可知,下载服务器由奇虎360提供。由雷电OS官网的许可协议可以进一步发现,该公司的地址和奇虎360完全相同(北京市朝阳区酒仙桥路6号院),进一步揭穿了雷电OS和奇虎360的关系。

图10 雷电OS安装文件的下载地址

图11 下载地址的DNS相关信息

图9所示的Cleandroid文件夹中各文件细节如下:

·ChiMaster.zip包含了一个apk文件,在手机系统引导后自动启动并开启一些雷电OS的服务。

·com.chima.customizationassist.zip包含了一个名为Hurricane.apk的文件,根据自带的黑名单和白名单来卸载系统原有预装的文件。

·com.leidianos.osspecial.zip包含了一个app,经分析是微信外挂。雷电OS用其实现自称的“微信自动抢红包”功能来吸引人安装,这一组件将极大增加用户微信帐户名及密码的泄露的可能性。

·leidianLauncher.zip即为雷电OS桌面(Launcher)和相关UI的安装包。

·leidianProvider.zip根据黑名单和白名单卸载手机原有的系统文件

·donghua.zip即为安装雷电OS后手机的开机动画。

·netd.zip用来进行网络管理并集成了“防火墙”功能

·update.zip包含了dexdump工具,用来伪造签名。

·UpdateCentre.zip用来取得手机的root权限并劫持一些Android的重要功能。

接下来是对相关文件签名的分析。图12为leidianLauncher.apk的签名:

图12 leidianLauncher.apk的签名

图13是chima.apk的文件签名

根据图12、13所显示,这些组件由奇虎360的子公司KuRuiMeng和CHIMA所开发。

以下是对雷电OS中三个重要App(Chima.apk,updateCentre.apk,Hurricane.apk)的分析:

1.Chima.apk

该应用的打包系统服务名称为com.chima.vulcan,安装在用户手机的/system目录下并拥有和系统文件同样的权限(如图14所示),会在开机后自启并收集用户信息如IMEI号/手机序列号/运营商/定位/CPU运行信息/用户性别等。

图14 Chima.apk伪装系统文件的标签

该应用还在安装目录中放置名为libchimahelper.so的文件。如图15所示,其在dalvik虚拟机的层面上劫持了三个关于系统服务的重要功能:bindService、startService以及getContentProvider。这允许其监视和控制Android系统及组件之间的重要通信。

图15 Chima.apk中对bindService功能的劫持

该应用还引入了一些非常具有争议性的命令,如远程安装App、远程卸载App等。相关命令列表如图16所示:

图16 Chima.apk引入的一些远程执行命令

如图17所示,我们还发现该应用的多个功能调用映像机制,该方法通常被病毒木马软件用来躲避杀毒软件的检测。

图17 Chima.apk使用的和病毒木马类似的躲避机制

2.updateCentre.apk

该应用用来root及劫持系统,允许雷电OS获得控制整个手机的权限。

图18 updateCentre对多个常见应用功能的劫持

如图19所示,该应用还劫持了Linux的一些通用功能:

图19 对Linux通用机能的劫持

而其中自带的Root模块Rootman可以定位至com.qihoo.permmgr.RootMan安装包。经过我们的验证,可以得出结论它和奇虎360的Root工具360一键Root大师完全相同。

经过收集用户手机的相关信息,该应用会将其发送至奇虎360的服务器,并返回各种机型的Root漏洞得出不同的root方案。

图20 连接奇虎360服务器试图得出Root方案

图21 执行root漏洞进行Root的updateCentre应用

3.Hurricane.apk

该应用根据黑名单对用户手机上的系统升级应用,以及其他厂商的手机卫士类型应用进行卸载。卸载之后,用户的手机不能进行官方升级并很大可能失去保修,极大增加了不安全性。

该黑名单中的应用如下所示,包含了三星、小米、华为、联想、LG、中兴、酷派、VIVO、OPPO、HTC、金立、诺基亚、锤子等市面全部主流手机厂商的系统更新工具,以及Facebook、腾讯、阿里等相关厂商的应用,甚至连Google在Android内置的升级组件和高通、联发科的升级组件也没有放过。

Trustlook建议,如果你安装了雷电OS,请立即前往手机厂商的官方网站下载正确的刷机包重新刷机。

404 Not Found

404 Not Found


nginx