阿里云服务器免费领卷啦。

捡代码论坛-最全的游戏源码下载技术网站!

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
关于源码区的附件失效或欺骗帖, 处理办法捡代码论坛官方微信,不定期分享免费优质资源下载
查看: 1256|回复: 3

难以置信!雷电OS优化工具竟是……

[复制链接]

2039

主题

2227

帖子

7万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
75260
QQ
发表于 2016-1-22 14:07:24 | 显示全部楼层 |阅读模式

位于硅谷的安全公司Trustlook昨日发表了名为“‘雷电’速度谎言真相”的对360雷电OS及其附带应用的分析,揭穿了360利用这一和木马类似的工具伪装成“优化”工具欺骗用户,强行删除原有系统升级组件并在手机上留下后门、危害用户账户信息安全的真相。

以下是对Trustlook该分析报告的翻译

你以为是在手机上安装了一个“加速”工具,实际上你的手机已经被开了一个后门。

近日,一款名为“雷电OS”的产品利用奇虎360安全卫士等渠道进行推广,它声称安装后用户手机可提速30%并拥有更高的续航能力。

我们对雷电OS及其安装过程进行了技术分析,发现雷电OS事实上包含了一个“后门”功能,利用Fastboot在用户手机上强行刷入经过修改的Recovery映像文件。雷电OS还在用户不知情的情况下卸载了一些原有系统预装的必要工具,尤其是系统更新组件,这将给用户的手机带来大量安全隐患。

此外,雷电OS还在未经用户允许的情况下偷偷安装了雷电应用市场、雷电浏览器、雷电助手、雷电加速以及360安全卫士到手机上。更加恶劣的是,它“黑掉”了系统的原有签名使得上面那些应用被安装在系统SYSTEM分区下并拥有系统最高权限,用户很难自行删除。

这一切都建立在奇虎360安全卫士里面蒙骗用户“一键体验”的基础上,在整个安装过程中完全没有提醒用户相关风险,这些操作让用户手机的安全性几乎完全丧失。

分析之后,我们还发现研发雷电的两家公司“KuRuiMeng”和“CHIMA”事实上就是奇虎360的子公司。雷电OS还集成了若干奇虎360安全卫士的模块。

下面是对雷电OS的详细分析,以雷电OS的安装步骤为开始。

就像图1和图2所显示的,在Windows上安装奇虎360安全卫士后,右下角落里的“更多”就能找到雷电OS,点击即可打开安装窗口。

难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图1 奇虎360安全卫士中的雷电OS入口(步骤1)

难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图2 奇虎360安全卫士中的雷电OS入口(步骤2)





难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图3 奇虎360安全卫士中的雷电OS安装窗口

点击图3中绿色的“立即体验”按钮后,奇虎360安全卫士开始下载相关安装文件到C:\Documents and Settings\Administrator\Application Data\CleanAndroid文件夹下。





难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图4 开始在手机上安装雷电OS

经过监控雷电OS的下载过程,我们发现安装文件是由360CleanHepler.exe进程下载的,以及相关json文件中包含的下载信息(图5及表1)

图5 下载安装文件的360CleanHelper.exe





难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

表1 包含下载信息的json文件





难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图6 刷机工具的下载信息





难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图7 刷机工具的压缩包信息





难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图8 Cleandroid文件夹中的刷机工具信息



难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图9 Cleandroid文件夹下Tools文件夹中的文件

由图7可见,雷电OS的安装过程实际上是利用Fastboot工具将recovery.img刷入手机,再利用adb调试工具远程安装apk。根据json文件包含的信息,雷电OS的下载地址为dl.so.keniub.com。

查看其IP(101.199.109.90)以及相关DNS信息可知,下载服务器由奇虎360提供。由雷电OS官网的许可协议可以进一步发现,该公司的地址和奇虎360完全相同(北京市朝阳区酒仙桥路6号院),进一步揭穿了雷电OS和奇虎360的关系。

图10 雷电OS安装文件的下载地址



难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图11 下载地址的DNS相关信息

图9所示的Cleandroid文件夹中各文件细节如下:

·ChiMaster.zip包含了一个apk文件,在手机系统引导后自动启动并开启一些雷电OS的服务。

·com.chima.customizationassist.zip包含了一个名为Hurricane.apk的文件,根据自带的黑名单和白名单来卸载系统原有预装的文件。

·com.leidianos.osspecial.zip包含了一个app,经分析是微信外挂。雷电OS用其实现自称的“微信自动抢红包”功能来吸引人安装,这一组件将极大增加用户微信帐户名及密码的泄露的可能性。

·leidianLauncher.zip即为雷电OS桌面(Launcher)和相关UI的安装包。

·leidianProvider.zip根据黑名单和白名单卸载手机原有的系统文件

·donghua.zip即为安装雷电OS后手机的开机动画。

·netd.zip用来进行网络管理并集成了“防火墙”功能

·update.zip包含了dexdump工具,用来伪造签名。

·UpdateCentre.zip用来取得手机的root权限并劫持一些Android的重要功能。

接下来是对相关文件签名的分析。图12为leidianLauncher.apk的签名:



难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图12 leidianLauncher.apk的签名



难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图13是chima.apk的文件签名

根据图12、13所显示,这些组件由奇虎360的子公司KuRuiMeng和CHIMA所开发。

以下是对雷电OS中三个重要App(Chima.apk,updateCentre.apk,Hurricane.apk)的分析:

1.Chima.apk

该应用的打包系统服务名称为com.chima.vulcan,安装在用户手机的/system目录下并拥有和系统文件同样的权限(如图14所示),会在开机后自启并收集用户信息如IMEI号/手机序列号/运营商/定位/CPU运行信息/用户性别等。



难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图14 Chima.apk伪装系统文件的标签

该应用还在安装目录中放置名为libchimahelper.so的文件。如图15所示,其在dalvik虚拟机的层面上劫持了三个关于系统服务的重要功能:bindService、startService以及getContentProvider。这允许其监视和控制Android系统及组件之间的重要通信。





难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图15 Chima.apk中对bindService功能的劫持

该应用还引入了一些非常具有争议性的命令,如远程安装App、远程卸载App等。相关命令列表如图16所示:



难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图16 Chima.apk引入的一些远程执行命令

如图17所示,我们还发现该应用的多个功能调用映像机制,该方法通常被病毒木马软件用来躲避杀毒软件的检测。



难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图17 Chima.apk使用的和病毒木马类似的躲避机制

2.updateCentre.apk

该应用用来root及劫持系统,允许雷电OS获得控制整个手机的权限。



难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图18 updateCentre对多个常见应用功能的劫持

如图19所示,该应用还劫持了Linux的一些通用功能:





难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图19 对Linux通用机能的劫持

而其中自带的Root模块Rootman可以定位至com.qihoo.permmgr.RootMan安装包。经过我们的验证,可以得出结论它和奇虎360的Root工具360一键Root大师完全相同。

经过收集用户手机的相关信息,该应用会将其发送至奇虎360的服务器,并返回各种机型的Root漏洞得出不同的root方案。





难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图20 连接奇虎360服务器试图得出Root方案



难以置信!雷电OS优化工具竟是…… 捡代码论坛-专业源码分享下载

图21 执行root漏洞进行Root的updateCentre应用

3.Hurricane.apk

该应用根据黑名单对用户手机上的系统升级应用,以及其他厂商的手机卫士类型应用进行卸载。卸载之后,用户的手机不能进行官方升级并很大可能失去保修,极大增加了不安全性。

该黑名单中的应用如下所示,包含了三星、小米、华为、联想、LG、中兴、酷派、VIVO、OPPO、HTC、金立、诺基亚、锤子等市面全部主流手机厂商的系统更新工具,以及Facebook、腾讯、阿里等相关厂商的应用,甚至连Google在Android内置的升级组件和高通、联发科的升级组件也没有放过。

Trustlook建议,如果你安装了雷电OS,请立即前往手机厂商的官方网站下载正确的刷机包重新刷机





捡代码论坛-最全的游戏源码下载技术网站! - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
2、本站所有主题由该帖子作者发表,该帖子作者与捡代码论坛-最全的游戏源码下载技术网站!享有帖子相关版权
3、捡代码论坛版权,详细了解请点击。

回复

使用道具 举报

2039

主题

2227

帖子

7万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
75260
QQ
 楼主| 发表于 2016-1-22 14:18:51 | 显示全部楼层
雷电OS优化工具
回复 支持 反对

使用道具 举报

0

主题

2

帖子

109

积分

微信用户

Rank: 1

积分
109
发表于 2016-1-23 17:29:55 | 显示全部楼层
雷电OS优化工具
回复 支持 反对

使用道具 举报

0

主题

10

帖子

95

积分

注册会员

Rank: 2

积分
95
发表于 2018-1-29 12:32:17 | 显示全部楼层

RE: 难以置信!雷电OS优化工具竟是……

难以置信!雷电OS优化工具竟是……
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

技术支持
在线咨询
QQ咨询
3351529868

QQ|RSS订阅|Archiver|手机版|小黑屋|捡代码论坛-专业源码分享下载 ( 陕ICP备15015195号-1|网站地图

GMT+8, 2018-9-24 13:49 , Processed in 0.076613 second(s), 33 queries .

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表