10日早晨,在主页刷到了酷友中招帖子,中午得到样本。下面简单分享一下我了解到的一些情况。

  1. 感染位置与恶意脚本

首先是感染后恶意程序典型位置:
/data/adb/modules/zygisk_lsposed/system/priv-app/zygisk/zygisk.apk

zygisk_lsposed可能为任何模块

其二是/data/adb/service.d文件夹中出现所示4个恶意脚本

其大致行为分别如下:
{权限升级 (0.sh): 暴力夺取 Root 权限,静默绕过所有 Root 管理工具。

系统级植入 (1.sh): 利用 Root 权限将自身植入 Zygisk 框架,获得劫持所有应用的能力,实现 Rootkit 级别的隐蔽性。

多进程守护 (2.sh 和 3.sh): 确保其 Android 应用服务和核心 ELF 进程永不停止 ——by gemini}

二、通讯与 C2 攻击链

当设备开机后,借助magisk or ksu恶意程序将被挂载为路径 “/system/priv-app/zygisk/zygisk.apk”的系统程序。

此时,该恶意程序将尝试连接域名为:fdkss.sbs的 C2(命令与控制)服务器,并与相关多个接口如:http://fdkss.sbs/client/a.ashx 进行通讯

其大致可以分为三个部分:

  1. 第一步post方式向接口/client/d.ashx提交状态信息,报告任务 [task_key=i 状态 (status=2)]
  2. 第二步,向接口/client/i.ashx上传URL 编码的 JSON 数据,包括设备型号,设备id,应用列表,等敏感信息

解码后:

3.第三阶段,通过 GET 方式接收 /elf/files.json 返回的配置,获取后续恶意文件和脚本的下载链接(链接为 123 盘直链)。指令中指定的四个文件 (a, b, k, p) 被保存到 /data/local/vendor/ 路径,其中 a 文件即为恶意载荷本体 (zygisk.apk),其组件功能与上述守护脚本相互配合。

三、隐蔽性与环境检测
zagisk.apk内含有环境检测,如果不满足以下三个条件,将会自杀结束进程,不进入c2远控阶段。
1.su环境检测,无root不启动
2.悬浮窗权限检查
3.遍历应用列表,检查设备是否安装了款主流 App(拼多多、淘宝、美团、B 站、快手……等32款之一)没有则退出。

核心部分则还采用AES加密。

另外,恶意程序在初次未联网状态,可以用创建快捷方式app启动其中的测试activity,如图。

  1. 《茶叶网》

远程服务器是一台香港的win server2016,开放了21,80,3306,3389,恶意脚本系统路径A:\AndroidWebServer\client,挂着一个ai生成的茶叶网站当幌子,相关中间件都很新,试了一下admin后台,好像没有弱口令。

如果你已经中招,请启用magisk核心模式,然后删除所有模块。如果怀疑自己的设备有问题,可以在/data/adb/搜是否有zygisk.apk(这是目前已知最明显的特征),如果发现有类似于zygisk32这样的的文件请不用过度担心,Zygisk 本身并非恶意软件,它是安卓 Root 解决方案 Magisk 的一个核心功能和模块框架,恶意软件zygisk.apk只是借此迷惑用户而已。

此次受影响的是少部分玩机用户,与普通用户无关,总之:请不要随意安装来路不明的模块