一、 基本信息
病毒名称:DroidDream
病毒类型:后门软件
样本长度:1,737,809 字节
原始文件名:com.droiddream.fallingball_44.apk
出现时间:2011.03.03
感染系统:Android 2.2及以下的所有系统
二、 概述
目前, 由名为“Kingmall2010”、“we20090202”以及“Myournet”等开发者发布的诸多应用中都含有 DroidDream病毒程序,目前这几款应用也都已经被撤出了Android Market商店。另外,Google还通过远程控制方式删除了其它的诸多受恶意程序感染的应用。该病毒通过Android的已知的exploid和rageagainstthecage漏洞提取root权限并且在后台静默安装了一个内嵌的com.android.providers.downloadsmanager包,搜集手机的IMEI和IMSI等发送到特定的服务器并且在后台下载一些其他的恶意apk包。
三、 样本特征
截止本分析报告发布,网秦已经检测到DroidDream后门软件有:
com.dodge.game.fallingball_44.apk
com.bubble_3.apk
com.droiddream.advancedtaskkiller1_63.apk
com.droiddream.basketball_38.apk
com.droiddream.bowlingtime_8.apk
com.droiddream.comparator_17.apk
com.droiddream.fallingball_44.apk
com.droiddream.game.omok_26.apk
com.free.chess_261.apk
com.hg.panzerpanic1_1.apk
com.hz.game.mrrunner1_1.apk
com.power.basketball_38.apk
com.spider.man_30.apk
powerstudio.spiderman_30.apk
该样本主要具有以下特征:
该病毒类似之前爆发的geinimi病毒相似,droiddream病毒修改了正常程序的入口,并且还修改程序的包名为com.droiddream
病毒启动之后会加载这个Activity启动一个com.android.root.Setting服务,并且会静默安装一个内嵌的apk包。
病毒利用了Android上两个知名的root漏洞,在apk包中嵌入了exploid这个可执行程序利用了hotplug 漏洞 Android local root exploid (C) ,还嵌入了rageagainstthecage这个可执行程序,该程序利用了漏洞CVE-2010-EASY Android local root exploit (C) 2010 by 743C。
另外还有一个sqlite.db文件,这个文件实际上是一个apk文件包名为com.android.providers.downloadsmanager,用于后台下载程序,在主程序感染之后静默安装该程序。
病毒还利用了开源项目http://code.google.com/p/androidterm/里面的jackpal.androidterm工程的lib库,该库md5为df1cf4bb326d3cf6ad02af28d754a79a,用于执行终端命令来启动利用漏洞的exploid和rageagainstthecage.
4. 代码分析结果:
样本需要获取系统的以下权限:
存储 修改/删除sdcard内容
网络通信 完全的互联网访问权限
手机通话 读取手机状态和身份
系统工具 防止手机休眠,更改wifi状态
如下图所示:
图2 样本需要多项系统权限
四、 检测和清除方法
用户可以前往网秦官网,下载网秦手机杀毒软件【点击下载】,立刻更新病毒库至最新,检查手机上是否已受该病毒感染,并及时查杀,更可以通过实时监控功能,避免遭受其它病毒对手机的侵害。
