難以置信!雷電OS優化工具竟是……

點擊上方「電腦愛好者」關注我們

位於矽谷的安全公司Trustlook昨日發表了名為「‘雷電’速度謊言真相」的對360雷電OS及其附帶應用的分析,揭穿了360利用這一和木馬類似的工具偽裝成「優化」工具欺騙用戶,強行刪除原有系統升級組件並在手機上留下後門、危害用戶帳戶信息安全的真相。

以下是對Trustlook該分析報告的翻譯

你以為是在手機上安裝了一個「加速」工具,實際上你的手機已經被開了一個後門。

最近,一款名為「雷電OS」的產品利用奇虎360安全衛士等管道進行推廣,它聲稱安裝後用戶手機可提速30%並擁有更高的續航能力。

我們對雷電OS及其安裝過程進行了技術分析,發現雷電OS事實上包含了一個「後門」功能,利用Fastboot在用戶手機上強行刷入經過修改的Recovery映像文件。雷電OS還在用戶不知情的情況下卸載了一些原有系統預裝的必要工具,尤其是系統更新組件,這將給用戶的手機帶來大量安全隱患。

此外,雷電OS還在未經用戶允許的情況下偷偷安裝了雷電應用市場、雷電瀏覽器、雷電助手、雷電加速以及360安全衛士到手機上。更加惡劣的是,它「黑掉」了系統的原有簽名使得上面那些應用被安裝在系統SYSTEM分區下並擁有系統最高權限,用戶很難自行刪除。

這一切都建立在奇虎360安全衛士裡面蒙騙用戶「一鍵體驗」的基礎上,在整個安裝過程中完全沒有提醒用戶相關風險,這些操作讓用戶手機的安全性幾乎完全喪失。

分析之後,我們還發現研發雷電的兩家公司「KuRuiMeng」和「CHIMA」事實上就是奇虎360的子公司。雷電OS還集成了若干奇虎360安全衛士的模塊。

下面是對雷電OS的詳細分析,以雷電OS的安裝步驟為開始。

就像圖1和圖2所顯示的,在Windows上安裝奇虎360安全衛士後,右下角落裡的「更多」就能找到雷電OS,點擊即可打開安裝窗口。

難以置信!雷電OS優化工具竟是……

圖1 奇虎360安全衛士中的雷電OS入口(步驟1)

難以置信!雷電OS優化工具竟是……

圖2 奇虎360安全衛士中的雷電OS入口(步驟2)

難以置信!雷電OS優化工具竟是……

圖3 奇虎360安全衛士中的雷電OS安裝窗口

點擊圖3中綠色的「立即體驗」按鈕後,奇虎360安全衛士開始下載相關安裝文件到C:\Documents and Settings\Administrator\Application Data\CleanAndroid文件夾下。

難以置信!雷電OS優化工具竟是……

圖4 開始在手機上安裝雷電OS

經過監控雷電OS的下載過程,我們發現安裝文件是由360CleanHepler.exe進程下載的,以及相關json文件中包含的下載信息(圖5及表1)

圖5 下載安裝文件的360CleanHelper.exe

難以置信!雷電OS優化工具竟是……

表1 包含下載信息的json文件

難以置信!雷電OS優化工具竟是……

圖6 刷機工具的下載信息

難以置信!雷電OS優化工具竟是……

圖7 刷機工具的壓縮包信息

難以置信!雷電OS優化工具竟是……

圖8 Cleandroid文件夾中的刷機工具信息

難以置信!雷電OS優化工具竟是……

圖9 Cleandroid文件夾下Tools文件夾中的文件

由圖7可見,雷電OS的安裝過程實際上是利用Fastboot工具將recovery.img刷入手機,再利用adb調試工具遠程安裝apk。根據json文件包含的信息,雷電OS的下載地址為dl.so.keniub.com。

查看其IP(101.199.109.90)以及相關DNS信息可知,下載服務器由奇虎360提供。由雷電OS官網的許可協議可以進一步發現,該公司的地址和奇虎360完全相同(北京市朝陽區酒仙橋路6號院),進一步揭穿了雷電OS和奇虎360的關係。

圖10 雷電OS安裝文件的下載地址

難以置信!雷電OS優化工具竟是……

圖11 下載地址的DNS相關信息

圖9所示的Cleandroid文件夾中各文件細節如下:

·ChiMaster.zip包含了一個apk文件,在手機系統引導後自動啟動並開啟一些雷電OS的服務。

·com.chima.customizationassist.zip包含了一個名為Hurricane.apk的文件,根據自帶的黑名單和白名單來卸載系統原有預裝的文件。

·com.leidianos.osspecial.zip包含了一個app,經分析是微信外掛。雷電OS用其做到自稱的「微信自動搶紅包」功能來吸引人安裝,這一組件將極大增加用戶微信帳戶名及密碼的泄露的可能性。

·leidianLauncher.zip即為雷電OS桌面(Launcher)和相關UI的安裝包。

·leidianProvider.zip根據黑名單和白名單卸載手機原有的系統文件

·donghua.zip即為安裝雷電OS後手機的開機動畫。

·netd.zip用來進行網路管理並集成了「防火牆」功能

·update.zip包含了dexdump工具,用來偽造簽名。

·UpdateCentre.zip用來取得手機的root權限並劫持一些Android的重要功能。

接下來是對相關文件簽名的分析。圖12為leidianLauncher.apk的簽名:

難以置信!雷電OS優化工具竟是……

圖12 leidianLauncher.apk的簽名

難以置信!雷電OS優化工具竟是……

圖13是chima.apk的文件簽名

根據圖12、13所顯示,這些組件由奇虎360的子公司KuRuiMeng和CHIMA所開發。

以下是對雷電OS中三個重要App(Chima.apk,updateCentre.apk,Hurricane.apk)的分析:

1.Chima.apk

該應用的打包系統服務名稱為com.chima.vulcan,安裝在用戶手機的/system目錄下並擁有和系統文件同樣的權限(如圖14所示),會在開機後自啟並收集用戶信息如IMEI號/手機序列號/經營商/定位/CPU運行信息/用戶性別等。

難以置信!雷電OS優化工具竟是……

圖14 Chima.apk偽裝系統文件的標籤

該應用還在安裝目錄中放置名為libchimahelper.so的文件。如圖15所示,其在dalvik虛擬機的層面上劫持了三個關於系統服務的重要功能:bindService、startService以及getContentProvider。這允許其監視和控制Android系統及組件之間的重要通信。

難以置信!雷電OS優化工具竟是……

圖15 Chima.apk中對bindService功能的劫持

該應用還引入了一些非常具有爭議性的命令,如遠程安裝App、遠程卸載App等。相關命令列表如圖16所示:

難以置信!雷電OS優化工具竟是……

圖16 Chima.apk引入的一些遠程執行命令

如圖17所示,我們還發現該應用的多個功能調用映像機制,該方法通常被病毒木馬軟體用來躲避殺毒軟體的檢測。

難以置信!雷電OS優化工具竟是……

圖17 Chima.apk使用的和病毒木馬類似的躲避機制

2.updateCentre.apk

該應用用來root及劫持系統,允許雷電OS獲得控制整個手機的權限。

難以置信!雷電OS優化工具竟是……

圖18 updateCentre對多個常見應用功能的劫持

如圖19所示,該應用還劫持了Linux的一些通用功能:

難以置信!雷電OS優化工具竟是……

圖19 對Linux通用機能的劫持

而其中自帶的Root模塊Rootman可以定位至com.qihoo.permmgr.RootMan安裝包。經過我們的驗證,可以得出結論它和奇虎360的Root工具360一鍵Root大師完全相同。

經過收集用戶手機的相關信息,該應用會將其發送至奇虎360的服務器,並返回各種機型的Root漏洞得出不同的Root方案。

難以置信!雷電OS優化工具竟是……

圖20 連接奇虎360服務器試圖得出Root方案

難以置信!雷電OS優化工具竟是……

圖21 執行root漏洞進行Root的updateCentre應用

3.Hurricane.apk

該應用根據黑名單對用戶手機上的系統升級應用,以及其他廠商的手機衛士類型應用進行卸載。卸載之後,用戶的手機不能進行官方升級並很大可能失去保修,極大增加了不安全性。

該黑名單中的應用如下所示,包含了三星、小米、華為、聯想、LG、中興、酷派、VIVO、OPPO、HTC、金立、諾基亞、錘子等市面全部主流手機廠商的系統更新工具,以及Facebook、騰訊、阿里等相關廠商的應用,甚至連Google在Android內置的升級組件和高通、聯發科的升級組件也沒有放過。

Trustlook建議,如果你安裝了雷電OS,請立即前往手機廠商的官方網站下載正確的刷機包重新刷機。

難以置信!雷電OS優化工具竟是……

閱讀原文


關於作者:
領略科技新生活,暢享互聯新時代!

微信號:cfan1993