随着移动端应用市场数量爆炸式增长，App推广和曝光率也越来越难。哪里有需求哪里就有生财之道，自然，App刷榜也就形成了一条产业链，它能够在短期内大幅提高下载量和用户量，进而提高应用的曝光率。当你打开应用市场想要下载一个功能性的APP，搜索结果出来后是不是都要看一下旁边的下载量？有时候还会看一下用户评论，那么，下载量大的就是好的吗？真的大家都在下吗？今天为你揭秘一个APP捆绑病毒木马利用你的手机恶意刷榜的案例，揭秘这个行业不为人知的一面。

近期，阿里移动安全发现一款名叫“魔百Wi-Fi”应用，该应用官方的一个版本捆绑了多个病毒，目的是对GooglePlay 商店应用刷榜和刷大量未知应用安装量。

该病毒在该设备锁屏时对设备root，root成功后向系统目录植入“刷榜僵尸”病毒，“刷榜僵尸”对指定应用在 GooglePlay商店上恶意刷量,同时还会诱骗用户安装“下载者”病毒，“下载者”病毒会在设备屏幕亮起状态会弹出广告页面，若用户触碰广告页面推广的应用将会自动安装运行。该病毒技术相当成熟，root 提权使用最高广的漏洞（CVE-2014-3153 TOAWELROOT、CVE-2015-3636 PINGPONG和PUTUSER 等），2015年10月之前的设备全部受影响。我们对恶意应用的证书对比，惊人的发现并非被重打包！

“魔百Wi-Fi”在2015年末首次发布，向用户打着安全Wi-Fi 旗号，短短半年用户安装量已高达300万。我们发现它具备专业的应用推广团队，目前已在国内知名渠道发布多篇宣传文章，并与国内多家应用商店合作，下图是”魔百Wifi” 前不久的一篇文章，文中还提到“截至目前,魔百WiFi拥有超过2亿的国内外热点，已覆盖商场、酒店，热点全线接入”。

“魔百Wifi”目前最新版本为2.3.18。根据应用证书md5(5919ee638614c467152ab4d07c9cc2dc) 排查，发现版本2.3.5～2.3.10被官方插入了恶意代码。值得注意的是，官方发布的2.3.8 版本打了两个不同的包，一个增加root提权向系统目录植入“刷榜僵尸”，另外一个包和2.3.10版本应用都捆绑了“下载者”病毒。捆绑了“刷榜僵尸”和“下载者”的“魔百 Wifi”，利用自身的用户量对应用刷榜和安装，进而非法牟利。以下是对“魔百Wi-Fi”2.3.8带 root包的应用分析。

一、主包分析：

该病毒捆绑了多个子包，以下是各个模块关系图：

1. 解密assets目录下sdk.data、__image 数据，解密后sdk.data是一个目录，目录下包括MainJson.txt、dexhostinjection.jar 、libDaemonProcess.so, __image是apk文件；

2. 唤起PushDexService、PushJobService完成dexhostinjection.jar 加载，以及执行dexhostinjection.jar的com.hostinjectiondex.external.ExternalInterfaces类的startExternalBody 方法，子包下载“下载者”病毒update，并诱导用户安装。

3. 开启后台服务利用libgodlikelib.so进行root提权，提权成功将libgodlikelib.so 提权工具库写入系统库文件；__image解密的apk文件植入系统目录，取名AndroidDaemonFrame.apk 即是“刷榜僵尸”病毒；

二、root提权

该样本是基于开源的RUN_ROOT_SHELL 改写而成，可以对2015年10月份之前的全部设备root ，主要利用了以下漏洞进行提权：

(1) CVE-2012-4220

影响设备：Android2.3～4.2

使用的QualcommInnovation Center(QuIC)Diagnostics内核模式驱动程序diagchar_core.c在实现上存在整数溢出漏洞 ,通过向diagchar_ioctl内传递特制的输入,远程攻击者可利用此漏洞执行任意代码或造成拒绝服务。

(2) /dev/graphics/fb0

fb0设备mmap漏洞（触发参数FBIOGET_FSCREENINFO）

(3) /dev/hdcp

hdcp设备mmap漏洞

(4) CVE-2013-6282

影响版本：linux kernel3.2.1、Linux kernel3.2.2、Linux kernel3.2.13

Linux kernel对ARM上的get_user/put_user缺少访问权限检查，本地攻击者可利用此漏洞读写内核内存，获取权限提升。

(5) /dev/msm_acdb

高通设备漏洞

(6) CVE-2013-2595

/dev/msm_camera/config0高通设备MMAP漏洞。

(7) CVE-2013-2094

影响版本：linux kernel3.8.9之前开启了PERF_EVENT的设备

利用该漏洞，通过perf_event_open系统调用，本地用户可以获得系统的最高权限。

(8) CVE-2015-3636

影响设备：2015年9月份之前的设备

pingpong该漏洞是Linux kernel的ping套接字上存在的一个Use-After-Free 漏洞。

(9) CVE-2014-3153

影响设备：2014年6月以前的设备

漏洞利用了futex_requeue、futex_lock_pi、futex_wait_requeue_pi 三个函数存在的RELOCK漏洞和REQUEUE漏洞,造成了对内核栈上的数据修改。

对设备成功提权后，会将解密的__image植入/system/priv-app目录并命名为AndroidDaemonFrame.apk ，将libgodlikelib.so提权工具库植入/system/lib目录。下图提权并向系统目录植入恶意文件。

三、AndroidDaemonFrame.apk“刷榜僵尸”分析

AndroidDaemonFrame应用是主包解密后植入到系统目录的应用，该应用是一款转用于恶意刷榜的病毒，利用用户设备账户信息作为刷榜僵尸，完成对C&C控制端指定应用的恶意刷榜。“刷榜僵尸”工作流程如下：

1.“刷榜僵尸”C&C控制端配置keywords和package_name。

2.“刷榜僵尸”向googleplay发起认证，通过获取的设备googleplay账号和密码，或authtoken。

3. 模拟googleplay协议对目标应用搜索、浏览和下载。

刷榜僵尸病毒在设备启动、屏幕解锁和网络改变触发BootReceiver组件执行，随后启动核心服务DispatcherService，该服务创建updateTask和googlePlayTask定时任务。

定时任务googlePlayTask

googlePlayTask每3小时执行一次，对配置文件里的keywords 和package_name指定的应用从GooglePlay爬取。下图root提权重定向设备账户文件。

病毒通过GooglePlay验证有两种方式，一使用authtoken ，全称authentication token，有了它病毒无须每次操作都向google服务器发送密码,  执行语句：sql.rawQuery(“select type,authtoken from authtokens where type like \’com.android.vending%\’ and accounts_id=”+ accounts_id, null)；二是获取google账户name、password和_id值。执行语句：sql.rawQuery(“select * from accounts where type = ?”, new String []{“com.google”}) 。如下图。

成功与google play服务器连接后，