难以置信!雷电OS优化工具竟是……
位于硅谷的安全公司Trustlook昨日发表了名为“‘雷电’速度谎言真相”的对360雷电OS及其附带应用的分析,揭穿了360利用这一和木马类似的工具伪装成“优化”工具欺骗用户,强行删除原有系统升级组件并在手机上留下后门、危害用户账户信息安全的真相。以下是对Trustlook该分析报告的翻译:你以为是在手机上安装了一个“加速”工具,实际上你的手机已经被开了一个后门。近日,一款名为“雷电OS”的产品利用奇虎360安全卫士等渠道进行推广,它声称安装后用户手机可提速30%并拥有更高的续航能力。我们对雷电OS及其安装过程进行了技术分析,发现雷电OS事实上包含了一个“后门”功能,利用Fastboot在用户手机上强行刷入经过修改的Recovery映像文件。雷电OS还在用户不知情的情况下卸载了一些原有系统预装的必要工具,尤其是系统更新组件,这将给用户的手机带来大量安全隐患。此外,雷电OS还在未经用户允许的情况下偷偷安装了雷电应用市场、雷电浏览器、雷电助手、雷电加速以及360安全卫士到手机上。更加恶劣的是,它“黑掉”了系统的原有签名使得上面那些应用被安装在系统SYSTEM分区下并拥有系统最高权限,用户很难自行删除。这一切都建立在奇虎360安全卫士里面蒙骗用户“一键体验”的基础上,在整个安装过程中完全没有提醒用户相关风险,这些操作让用户手机的安全性几乎完全丧失。分析之后,我们还发现研发雷电的两家公司“KuRuiMeng”和“CHIMA”事实上就是奇虎360的子公司。雷电OS还集成了若干奇虎360安全卫士的模块。下面是对雷电OS的详细分析,以雷电OS的安装步骤为开始。就像图1和图2所显示的,在Windows上安装奇虎360安全卫士后,右下角落里的“更多”就能找到雷电OS,点击即可打开安装窗口。http://i8.tietuku.com/3bd94d4047d193d1.jpg图1 奇虎360安全卫士中的雷电OS入口(步骤1)http://i8.tietuku.com/3e5f862de5ae1b0e.jpg图2 奇虎360安全卫士中的雷电OS入口(步骤2)http://i8.tietuku.com/9bcec2942280b6e4.jpg
图3 奇虎360安全卫士中的雷电OS安装窗口点击图3中绿色的“立即体验”按钮后,奇虎360安全卫士开始下载相关安装文件到C:\Documents and Settings\Administrator\Application Data\CleanAndroid文件夹下。
http://i8.tietuku.com/3bbbde09f7a87269.jpg
图4 开始在手机上安装雷电OS经过监控雷电OS的下载过程,我们发现安装文件是由360CleanHepler.exe进程下载的,以及相关json文件中包含的下载信息(图5及表1)图5 下载安装文件的360CleanHelper.exe
http://i8.tietuku.com/353c9d86f2c92640.jpg
表1 包含下载信息的json文件
http://i8.tietuku.com/14973e194e237eb8.jpg
图6 刷机工具的下载信息
http://i8.tietuku.com/1dbae7ce70d00ae3.jpg
图7 刷机工具的压缩包信息
http://i8.tietuku.com/85c8eb5f30fd25d8.jpg
图8 Cleandroid文件夹中的刷机工具信息
http://i8.tietuku.com/47c4921e4cabae62.jpg
图9 Cleandroid文件夹下Tools文件夹中的文件由图7可见,雷电OS的安装过程实际上是利用Fastboot工具将recovery.img刷入手机,再利用adb调试工具远程安装apk。根据json文件包含的信息,雷电OS的下载地址为dl.so.keniub.com。查看其IP(101.199.109.90)以及相关DNS信息可知,下载服务器由奇虎360提供。由雷电OS官网的许可协议可以进一步发现,该公司的地址和奇虎360完全相同(北京市朝阳区酒仙桥路6号院),进一步揭穿了雷电OS和奇虎360的关系。图10 雷电OS安装文件的下载地址
http://i8.tietuku.com/a33239c54fca3b65.jpg
图11 下载地址的DNS相关信息图9所示的Cleandroid文件夹中各文件细节如下:·ChiMaster.zip包含了一个apk文件,在手机系统引导后自动启动并开启一些雷电OS的服务。·com.chima.customizationassist.zip包含了一个名为Hurricane.apk的文件,根据自带的黑名单和白名单来卸载系统原有预装的文件。·com.leidianos.osspecial.zip包含了一个app,经分析是微信外挂。雷电OS用其实现自称的“微信自动抢红包”功能来吸引人安装,这一组件将极大增加用户微信帐户名及密码的泄露的可能性。·leidianLauncher.zip即为雷电OS桌面(Launcher)和相关UI的安装包。·leidianProvider.zip根据黑名单和白名单卸载手机原有的系统文件·donghua.zip即为安装雷电OS后手机的开机动画。·netd.zip用来进行网络管理并集成了“防火墙”功能·update.zip包含了dexdump工具,用来伪造签名。·UpdateCentre.zip用来取得手机的root权限并劫持一些Android的重要功能。接下来是对相关文件签名的分析。图12为leidianLauncher.apk的签名:
http://i8.tietuku.com/15060fa3c1fdca3a.jpg
图12 leidianLauncher.apk的签名
http://i8.tietuku.com/44a9081b4b06185e.jpg
图13是chima.apk的文件签名根据图12、13所显示,这些组件由奇虎360的子公司KuRuiMeng和CHIMA所开发。以下是对雷电OS中三个重要App(Chima.apk,updateCentre.apk,Hurricane.apk)的分析:1.Chima.apk该应用的打包系统服务名称为com.chima.vulcan,安装在用户手机的/system目录下并拥有和系统文件同样的权限(如图14所示),会在开机后自启并收集用户信息如IMEI号/手机序列号/运营商/定位/CPU运行信息/用户性别等。
http://i8.tietuku.com/a0d66970a38a3370.jpg
图14 Chima.apk伪装系统文件的标签该应用还在安装目录中放置名为libchimahelper.so的文件。如图15所示,其在dalvik虚拟机的层面上劫持了三个关于系统服务的重要功能:bindService、startService以及getContentProvider。这允许其监视和控制Android系统及组件之间的重要通信。
http://i8.tietuku.com/805b8a784bf722d5.jpg
图15 Chima.apk中对bindService功能的劫持该应用还引入了一些非常具有争议性的命令,如远程安装App、远程卸载App等。相关命令列表如图16所示:
http://i8.tietuku.com/02c247ecbedcd0ea.jpg
图16 Chima.apk引入的一些远程执行命令如图17所示,我们还发现该应用的多个功能调用映像机制,该方法通常被病毒木马软件用来躲避杀毒软件的检测。
http://i8.tietuku.com/7cc134f30b583925.jpg
图17 Chima.apk使用的和病毒木马类似的躲避机制2.updateCentre.apk该应用用来root及劫持系统,允许雷电OS获得控制整个手机的权限。
http://i8.tietuku.com/895280d2013d9041.jpg
图18 updateCentre对多个常见应用功能的劫持如图19所示,该应用还劫持了Linux的一些通用功能:
http://i8.tietuku.com/08cf029e6358b057.jpg
图19 对Linux通用机能的劫持而其中自带的Root模块Rootman可以定位至com.qihoo.permmgr.RootMan安装包。经过我们的验证,可以得出结论它和奇虎360的Root工具360一键Root大师完全相同。经过收集用户手机的相关信息,该应用会将其发送至奇虎360的服务器,并返回各种机型的Root漏洞得出不同的root方案。
http://i8.tietuku.com/c324effb12068d1b.jpg
图20 连接奇虎360服务器试图得出Root方案
http://i8.tietuku.com/46db29d618753af8.jpg
图21 执行root漏洞进行Root的updateCentre应用3.Hurricane.apk该应用根据黑名单对用户手机上的系统升级应用,以及其他厂商的手机卫士类型应用进行卸载。卸载之后,用户的手机不能进行官方升级并很大可能失去保修,极大增加了不安全性。该黑名单中的应用如下所示,包含了三星、小米、华为、联想、LG、中兴、酷派、VIVO、OPPO、HTC、金立、诺基亚、锤子等市面全部主流手机厂商的系统更新工具,以及Facebook、腾讯、阿里等相关厂商的应用,甚至连Google在Android内置的升级组件和高通、联发科的升级组件也没有放过。Trustlook建议,如果你安装了雷电OS,请立即前往手机厂商的官方网站下载正确的刷机包重新刷机
雷电OS优化工具 雷电OS优化工具
RE: 难以置信!雷电OS优化工具竟是……
难以置信!雷电OS优化工具竟是……
页:
[1]