• 欢迎访问肖哥Blog,系统下载,装机必备,电脑技术,网络技术,音乐分享,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站

难以置信!雷电OS优化工具竟是……

最新资讯 Cupid 2年前 (2016-02-29) 484次浏览 已收录 0个评论

位于硅谷的安全公司 Trustlook 昨日发表了名为“‘雷电’速度谎言真相”的对 360 雷电 OS 及其附带应用的分析,揭穿了 360 利用这一和木马类似的工具伪装成“优化”工具欺骗用户,强行删除原有系统升级组件并在手机上留下后门、危害用户账户信息安全的真相。

QQ 截图 20160229225720

以下是对 Trustlook 该分析报告的翻译

你以为是在手机上安装了一个“加速”工具,实际上你的手机已经被开了一个后门。

近日,一款名为“雷电 OS”的产品利用奇虎 360 安全卫士等渠道进行推广,它声称安装后用户手机可提速 30%并拥有更高的续航能力。

我们对雷电 OS 及其安装过程进行了技术分析,发现雷电 OS 事实上包含了一个“后门”功能,利用 Fastboot 在用户手机上强行刷入经过修改的 Recovery 映像文件。雷电 OS 还在用户不知情的情况下卸载了一些原有系统预装的必要工具,尤其是系统更新组件,这将给用户的手机带来大量安全隐患。

此外,雷电 OS 还在未经用户允许的情况下偷偷安装了雷电应用市场、雷电浏览器、雷电助手、雷电加速以及 360 安全卫士到手机上。更加恶劣的是,它“黑掉”了系统的原有签名使得上面那些应用被安装在系统 SYSTEM 分区下并拥有系统最高权限,用户很难自行删除。

这一切都建立在奇虎 360 安全卫士里面蒙骗用户“一键体验”的基础上,在整个安装过程中完全没有提醒用户相关风险,这些操作让用户手机的安全性几乎完全丧失。

分析之后,我们还发现研发雷电的两家公司“KuRuiMeng”和“CHIMA”事实上就是奇虎 360 的子公司。雷电 OS 还集成了若干奇虎 360 安全卫士的模块。

下面是对雷电 OS 的详细分析,以雷电 OS 的安装步骤为开始

就像图 1 和图 2 所显示的,在 Windows 上安装奇虎 360 安全卫士后,右下角落里的“更多”就能找到雷电 OS,点击即可打开安装窗口。

1

图 1 奇虎 360 安全卫士中的雷电 OS 入口(步骤 1)

2

图 2 奇虎 360 安全卫士中的雷电 OS 入口(步骤 2)

3

图 3 奇虎 360 安全卫士中的雷电 OS 安装窗口

点击图 3 中绿色的“立即体验”按钮后,奇虎 360 安全卫士开始下载相关安装文件到 C:\Documents and Settings\Administrator\Application Data\CleanAndroid 文件夹下。

4

图 4 开始在手机上安装雷电 OS

经过监控雷电 OS 的下载过程,我们发现安装文件是由 360CleanHepler.exe 进程下载的,以及相关 json 文件中包含的下载信息(图 5 及表 1)

图 5 下载安装文件的 360CleanHelper.exe

5

表 1 包含下载信息的 json 文件

6

图 6 刷机工具的下载信息

7

图 7 刷机工具的压缩包信息

8

图 8 Cleandroid 文件夹中的刷机工具信息

9

图 9 Cleandroid 文件夹下 Tools 文件夹中的文件

由图 7 可见,雷电 OS 的安装过程实际上是利用 Fastboot 工具将 recovery.img 刷入手机,再利用 adb 调试工具远程安装 apk。根据 json 文件包含的信息,雷电 OS 的下载地址为 dl.so.keniub.com。

查看其 IP(101.199.109.90)以及相关 DNS 信息可知,下载服务器由奇虎 360 提供。由雷电 OS 官网的许可协议可以进一步发现,该公司的地址和奇虎 360 完全相同(北京市朝阳区酒仙桥路 6 号院),进一步揭穿了雷电 OS 和奇虎 360 的关系。

图 10 雷电 OS 安装文件的下载地址

10

图 11 下载地址的 DNS 相关信息

图 9 所示的 Cleandroid 文件夹中各文件细节如下:

·ChiMaster.zip 包含了一个 apk 文件,在手机系统引导后自动启动并开启一些雷电 OS 的服务。

·com.chima.customizationassist.zip 包含了一个名为 Hurricane.apk 的文件,根据自带的黑名单和白名单来卸载系统原有预装的文件。

·com.leidianos.osspecial.zip 包含了一个 app,经分析是微信外挂。雷电 OS 用其实现自称的“微信自动抢红包”功能来吸引人安装,这一组件将极大增加用户微信帐户名及密码的泄露的可能性。

·leidianLauncher.zip 即为雷电 OS 桌面(Launcher)和相关 UI 的安装包。

·leidianProvider.zip 根据黑名单和白名单卸载手机原有的系统文件

·donghua.zip 即为安装雷电 OS 后手机的开机动画。

·netd.zip 用来进行网络管理并集成了“防火墙”功能

·update.zip 包含了 dexdump 工具,用来伪造签名。

·UpdateCentre.zip 用来取得手机的 root 权限并劫持一些 Android 的重要功能。

接下来是对相关文件签名的分析。图 12 为 leidianLauncher.apk 的签名:

11

图 12 leidianLauncher.apk 的签名

12

图 13 是 chima.apk 的文件签名

根据图 12、13 所显示,这些组件由奇虎 360 的子公司 KuRuiMeng 和 CHIMA 所开发。

以下是对雷电 OS 中三个重要 App(Chima.apk,updateCentre.apk,Hurricane.apk)的分析:

1.Chima.apk

该应用的打包系统服务名称为 com.chima.vulcan,安装在用户手机的/system 目录下并拥有和系统文件同样的权限(如图 14 所示),会在开机后自启并收集用户信息如 IMEI 号/手机序列号/运营商/定位/CPU 运行信息/用户性别等。

13

图 14 Chima.apk 伪装系统文件的标签

该应用还在安装目录中放置名为 libchimahelper.so 的文件。如图 15 所示,其在 dalvik 虚拟机的层面上劫持了三个关于系统服务的 重要功能:bindService、startService 以及 getContentProvider。这允许其监视和控制 Android 系统及组件之 间的重要通信。

14

图 15 Chima.apk 中对 bindService 功能的劫持

该应用还引入了一些非常具有争议性的命令,如远程安装 App、远程卸载 App 等。相关命令列表如图 16 所示:

15

图 16 Chima.apk 引入的一些远程执行命令

如图 17 所示,我们还发现该应用的多个功能调用映像机制,该方法通常被病毒木马软件用来躲避杀毒软件的检测。

16

图 17 Chima.apk 使用的和病毒木马类似的躲避机制

2.updateCentre.apk

该应用用来 root 及劫持系统,允许雷电 OS 获得控制整个手机的权限。

17

图 18 updateCentre 对多个常见应用功能的劫持

如图 19 所示,该应用还劫持了 Linux 的一些通用功能:

18

图 19 对 Linux 通用机能的劫持

而其中自带的 Root 模块 Rootman 可以定位至 com.qihoo.permmgr.RootMan 安装包。经过我们的验证,可以得出结论它和奇虎 360 的 Root 工具 360 一键 Root 大师完全相同。

经过收集用户手机的相关信息,该应用会将其发送至奇虎 360 的服务器,并返回各种机型的 Root 漏洞得出不同的 root 方案。

19

图 20 连接奇虎 360 服务器试图得出 Root 方案

20

执行 root 漏洞进行 Root 的 updateCentre 应用

3.Hurricane.apk

该应用根据黑名单对用户手机上的系统升级应用,以及其他厂商的手机卫士类型应用进行卸载。卸载之后,用户的手机不能进行官方升级并很大可能失去保修,极大增加了不安全性。

该黑名单中的应用如下所示,包含了三星、小米、华为、联想、LG、中兴、酷派、VIVO、OPPO、HTC、金立、诺基亚、锤子等市面全部主流手机 厂商的系统更新工具,以及 Facebook、腾讯、阿里等相关厂商的应用,甚至连 Google 在 Android 内置的升级组件和高通、联发科的升级组件也 没有放过。

Trustlook 建议,如果你安装了雷电 OS,请立即前往手机厂商的官方网站下载正确的刷机包重新刷机


肖哥 Blog , 版权所有丨本网站采用BY-NC-SA协议进行授权 , 转载请注明http://xiaoge520.cn/429.html
喜欢 (1)
[]
分享 (0)
关于作者:
座右铭:从头开始学,从头当菜鸟!
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址