难以置信！雷电OS优化工具竟是……

位于硅谷的安全公司Trustlook昨日发表了名为“‘雷电’速度谎言真相”的对360雷电OS及其附带应用的分析，揭穿了360利用这一和木马类似的工具伪装成“优化”工具欺骗用户，强行删除原有系统升级组件并在手机上留下后门、危害用户账户信息安全的真相。

以下是对Trustlook该分析报告的翻译：

你以为是在手机上安装了一个“加速”工具，实际上你的手机已经被开了一个后门。

近日，一款名为“雷电OS”的产品利用奇虎360安全卫士等渠道进行推广，它声称安装后用户手机可提速30%并拥有更高的续航能力。

我们对雷电OS及其安装过程进行了技术分析，发现雷电OS事实上包含了一个“后门”功能，利用Fastboot在用户手机上强行刷入经过修改的Recovery映像文件。雷电OS还在用户不知情的情况下卸载了一些原有系统预装的必要工具，尤其是系统更新组件，这将给用户的手机带来大量安全隐患。

此外，雷电OS还在未经用户允许的情况下偷偷安装了雷电应用市场、雷电浏览器、雷电助手、雷电加速以及360安全卫士到手机上。更加恶劣的是，它“黑掉”了系统的原有签名使得上面那些应用被安装在系统SYSTEM分区下并拥有系统最高权限，用户很难自行删除。

这一切都建立在奇虎360安全卫士里面蒙骗用户“一键体验”的基础上，在整个安装过程中完全没有提醒用户相关风险，这些操作让用户手机的安全性几乎完全丧失。

分析之后，我们还发现研发雷电的两家公司“KuRuiMeng”和“CHIMA”事实上就是奇虎360的子公司。雷电OS还集成了若干奇虎360安全卫士的模块。

下面是对雷电OS的详细分析，以雷电OS的安装步骤为开始。

就像图1和图2所显示的，在Windows上安装奇虎360安全卫士后，右下角落里的“更多”就能找到雷电OS，点击即可打开安装窗口。

图1 奇虎360安全卫士中的雷电OS入口（步骤1）

图2 奇虎360安全卫士中的雷电OS入口（步骤2）

图3 奇虎360安全卫士中的雷电OS安装窗口

点击图3中绿色的“立即体验”按钮后，奇虎360安全卫士开始下载相关安装文件到C:\Documents and Settings\Administrator\Application Data\CleanAndroid文件夹下。

图4 开始在手机上安装雷电OS

经过监控雷电OS的下载过程，我们发现安装文件是由360CleanHepler.exe进程下载的，以及相关json文件中包含的下载信息（图5及表1）

图5 下载安装文件的360CleanHelper.exe

表1 包含下载信息的json文件

图6 刷机工具的下载信息

图7 刷机工具的压缩包信息

图8 Cleandroid文件夹中的刷机工具信息

图9 Cleandroid文件夹下Tools文件夹中的文件

由图7可见，雷电OS的安装过程实际上是利用Fastboot工具将recovery.img刷入手机，再利用adb调试工具远程安装apk。根据json文件包含的信息，雷电OS的下载地址为dl.so.keniub.com。

查看其IP（101.199.109.90）以及相关DNS信息可知，下载服务器由奇虎360提供。由雷电OS官网的许可协议可以进一步发现，该公司的地址和奇虎360完全相同(北京市朝阳区酒仙桥路6号院)，进一步揭穿了雷电OS和奇虎360的关系。

图10 雷电OS安装文件的下载地址

图11 下载地址的DNS相关信息

图9所示的Cleandroid文件夹中各文件细节如下：

·ChiMaster.zip包含了一个apk文件，在手机系统引导后自动启动并开启一些雷电OS的服务。

·com.chima.customizationassist.zip包含了一个名为Hurricane.apk的文件，根据自带的黑名单和白名单来卸载系统原有预装的文件。

·com.leidianos.osspecial.zip包含了一个app，经分析是微信外挂。雷电OS用其实现自称的“微信自动抢红包”功能来吸引人安装，这一组件将极大增加用户微信帐户名及密码的泄露的可能性。

·leidianLauncher.zip即为雷电OS桌面（Launcher）和相关UI的安装包。

·leidianProvider.zip根据黑名单和白名单卸载手机原有的系统文件

·donghua.zip即为安装雷电OS后手机的开机动画。

·netd.zip用来进行网络管理并集成了“防火墙”功能

·update.zip包含了dexdump工具，用来伪造签名。

·UpdateCentre.zip用来取得手机的root权限并劫持一些Android的重要功能。

接下来是对相关文件签名的分析。图12为leidianLauncher.apk的签名：

图12 leidianLauncher.apk的签名

图13是chima.apk的文件签名

根据图12、13所显示，这些组件由奇虎360的子公司KuRuiMeng和CHIMA所开发。

以下是对雷电OS中三个重要App（Chima.apk,updateCentre.apk,Hurricane.apk)的分析：

1.Chima.apk

该应用的打包系统服务名称为com.chima.vulcan，安装在用户手机的/system目录下并拥有和系统文件同样的权限（如图14所示），会在开机后自启并收集用户信息如IMEI号/手机序列号/运营商/定位/CPU运行信息/用户性别等。

图14 Chima.apk伪装系统文件的标签

该应用还在安装目录中放置名为libchimahelper.so的文件。如图15所示，其在dalvik虚拟机的层面上劫持了三个关于系统服务的重要功能：bindService、startService以及getContentProvider。这允许其监视和控制Android系统及组件之间的重要通信。

图15 Chima.apk中对bindService功能的劫持

该应用还引入了一些非常具有争议性的命令，如远程安装App、远程卸载App等。相关命令列表如图16所示：

图16 Chima.apk引入的一些远程执行命令

如图17所示，我们还发现该应用的多个功能调用映像机制，该方法通常被病毒木马软件用来躲避杀毒软件的检测。

图17 Chima.apk使用的和病毒木马类似的躲避机制

2.updateCentre.apk

该应用用来root及劫持系统，允许雷电OS获得控制整个手机的权限。

图18 updateCentre对多个常见应用功能的劫持

如图19所示，该应用还劫持了Linux的一些通用功能：

图19 对Linux通用机能的劫持

而其中自带的Root模块Rootman可以定位至com.qihoo.permmgr.RootMan安装包。经过我们的验证，可以得出结论它和奇虎360的Root工具360一键Root大师完全相同。

经过收集用户手机的相关信息，该应用会将其发送至奇虎360的服务器，并返回各种机型的Root漏洞得出不同的root方案。

图20 连接奇虎360服务器试图得出Root方案

图21 执行root漏洞进行Root的updateCentre应用

3.Hurricane.apk

该应用根据黑名单对用户手机上的系统升级应用，以及其他厂商的手机卫士类型应用进行卸载。卸载之后，用户的手机不能进行官方升级并很大可能失去保修，极大增加了不安全性。

该黑名单中的应用如下所示，包含了三星、小米、华为、联想、LG、中兴、酷派、VIVO、OPPO、HTC、金立、诺基亚、锤子等市面全部主流手机厂商的系统更新工具，以及Facebook、腾讯、阿里等相关厂商的应用，甚至连Google在Android内置的升级组件和高通、联发科的升级组件也没有放过。

Trustlook建议，如果你安装了雷电OS，请立即前往手机厂商的官方网站下载正确的刷机包重新刷机