“Like Maniacs”在社交网络上很活跃，这已不是什么秘密。 如今，网络上活跃着“Like Maniac”的病毒版本。 近日，360安全大脑详细披露了一款兼容Android 64位的Android Native病毒——“Like Maniac”。

该病毒以虚假色情应用为诱饵，引诱用户上钩。 它暗中利用短视频网络接口增加短视频的点赞量，增加公众号的浏览量，在不知不觉中将普通用户变成点赞的“僵尸粉丝”。 。 用户可以下载安装360手机卫士来拦截并查杀此类病毒。

被击中后立马成为“僵尸粉”

“求赞狂”通过色情应用蔓延

与普通病毒不同，“Like Mania”病毒非常狡猾。 据360安全大脑追踪数据显示，该病毒不仅可以通过修改系统文件、云控加载等技术手段躲避杀毒软件，还利用CVE-2019-2025（水滴漏洞）等多个Android系统漏洞）获得最高的手机漏洞。 ROOT 权限。 这也导致手机一旦感染病毒，就会被植入大量难以删除的底层恶意模块。 除了成为“工具人”之外，还可能遭遇恶意扣费。

从危害来看，“点赞狂”病毒的主要特点是，将受影响的手机变成短视频点赞和公众号阅读量的“僵尸粉丝”，在未经用户同意的情况下私​​自订购付费服务。知识。 、截获扣费短信，造成直接经济损失。 从传播途径来看，病毒主要通过色情应用、小游戏等方式传播。

（“刷单狂”病毒伪装的几种典型应用）

根据360安全大脑监测数据，该病毒可利用多个Android系统漏洞获取手机最高ROOT权限、修改系统文件（aee_aed/debuggerd）、利用SVC指令隐蔽加载病毒主文件并下载payload来自云端。 ，使用自定义的加密算法来保护自身不被防病毒软件发现。

ROOT三步增加特权、刷赞、扣费

“获赞狂人”蛇皮动作轻柔躲避杀戮

“点赞狂潮”病毒感染手机后，首先会从云服务器下载ROOT提权工具包，解密释放病毒主文件kms_02ext，在手机上获取更高的ROOT权限进行点赞，刷量阅读量、恶意扣费等非法操作。 360安全大脑分析指出，“Like Maniac”病毒从云端下载ROOT提权工具包之前，实际上有一个复杂且隐蔽的准备阶段。

当用户无意中下载了带有病毒的应用程序，打开应用程序界面时，首先会看到加载等待界面。 此时，应用程序实际上是在“偷偷”偷偷上传用户的手机号码和设备信息，并下载ROOT提权工具包等其他功能模块，为获取手机ROOT权限等恶意行为做准备。 在此过程中，应用程序将释放并下载近50个jar文件。

为了吸引更多用户，病毒应用还会在假色情应用显示的视频页面上显示用户评论，以增加可信度，打消用户的防御心理。 但360安全大脑溯源分析发现，视频页面上的评论和ID都是预先设定的内容，只是为了进一步迷惑用户。

此外，病毒应用程序还使用多个数据库文件来分类存储相应的信息。

病毒dfsywwy.data数据库存储了大量可供下载的jar文件，可见插件数量之庞大。 详情如下：

当病毒应用释放的ss.jar文件成功从云端下载upnpclz.apk后，就准备进一步下载ROOT提权工具包。

第一步：ROOT提权

upnpclz.apk加载后会检查更新，并从云端下载ROOT提权工具包imgs_9.zip，解密后得到upz_5压缩文件。

接下来百度百科刷赞软件，它会加载libkm05.so（64位手机为libkm05_64.so），调用两个JNI函数，解密km01，释放出“Like Mania”病毒的主文件kms_02ext。

至此，病毒主文件kms_02ext运行后，最终会释放“Like Mania”病毒的核心作恶模块km09_​​2970.so，并调用km09_​​2970.so的func_3()函数完成ROOT权限等操作核心elf文件的升级和发布。 如此长的释放链，可以说“食妖”病毒的生存欲望非常强烈。

需要说明的是，在func_3()函数中，病毒首先会POST设备信息到C&C服务器，识别手机型号，并选择合适的提权方案来获取手机的ROOT权限。 在此过程中，病毒主要利用CVE-2013-2595、CVE-2016-5195（脏牛）、CVE-2019-2025（水滴）等漏洞实现手机ROOT提权。

第二步：短视频获得点赞

成功获取手机ROOT权限后，核心邪恶模块km09_​​2970.so会从云端下载解密后的类似模块v15.zip的短视频（解密后为SO文件），并加载do_main()函数SO文件的，用于下载并解密v18_u.zip，这是“Like Maniac”病毒完全解密的主文件kms_02ext。 主病毒被删除后，仍然可以通过这种方式“满血复活”。

接下来libdy.so会读取短视频应用的token_shared_preference.xml、applog_stats.xml、cookies文件，获取自动点赞所需的用户token等个人登录信息，构建完整的短视频点赞请求URL，并返回它通过解析得到的“status_code”和“is_digg”参数值来判断点赞是否成功。

此外，恶意模块km09_​​2970.so还会释放恶意文件liblad.so和wxop.dex。 liblad.so会在.init_array段中加载病毒文件/system/bin/debuggerro，并在my_entry()函数中创建一个新线程来加载wxop的com.wxop.Entry类的入口函数DoOp()。 dex，通过社交Webview访问指定URL，增加公众号的阅读量。 公众号阅读量提升的代码片段如下：

第三步：恶意扣费

如果病毒式点赞把普通用户变成了“工具”，那么后续的恶意扣款将直接危及用户的钱包。 此次病毒释放的恶意模块km09_​​2970.so会将恶意文件1.so和jarop.dex.jar注入到com.android.phone进程中，监听手机短信的收发，甚至私自订阅付费服务，拦截、扣除免费短信。

该病毒进行短信拦截的恶意代码片段如下：

相关C&C服务器信息

相关APK列表

不要害怕“疯狂”的例行公事

更新360手机卫士护航安全

对于普通用户来说，“Like Maniac”病毒强行接管用户手机以增加点赞和阅读量，不仅影响手机的正常使用，导致个人信息泄露，恶意利用漏洞也直接造成对用户手机的安全构成巨大威胁。 。 同时，对于用户来说，当病毒作者获得ROOT权限后，就等于将手机交给了不法分子。 一旦被利用，很可能造成难以挽回的损失。

对此，360安全大脑给出以下安全建议：

1、找到“360手机卫士”神助攻：通过360手机卫士官网及各大应用市场及时安装/更新360手机卫士，对您的手机进行全面“体检”；

2、预防微传染病：如果手机出现异常发热、超屏广告等异常症状，及时使用360手机卫士进行体检、扫描病毒；

3、警惕性陷阱：病毒作者常常利用人们的好奇心，精心设置陷阱，让用户上当。 广大手机用户不应心存侥幸。 通过正规的移动应用市场下载安装应用程序百度百科刷赞软件，可以有效避免被抓的风险；

4、谨慎发布：如果杀毒软件提示您有病毒，请勿信任病毒软件提示添加信任；

5、及时更新系统和补丁：及时升级系统、安装系统更新补丁，可以有效降低漏洞利用风险。