2、高人气正常应用
具有较高人气的正常应用也是百脑虫病毒传播的重灾区。如千炮捕鱼新年版、极品时刻表、全名挖钻石等都被别有用心的病毒作者篡改，嵌入了百脑虫病毒。如用户安全意识薄弱，未通过官方或正规第三方电子市场下载安装此类应用，很容易被百脑虫病毒感染。
图3 嵌入百脑虫病毒的正常应用

三、病毒介绍
百脑虫病毒模块关系如图：
图4 百脑虫模块关系
打包百脑虫的应用启动后，会提权释放一个无图标的APK到系统应用路径里，此APK在后台默默运行，用户难以发觉。此APK就是百脑虫病毒的核心模块，它主要功能有检查安全软件、劫取用户隐私、静默推广安装其他应用及病毒文件等。

打包百脑虫的应用启动后，会提权释放一个无图标的APK到系统应用路径里，此APK在后台默默运行，用户难以发觉。此APK就是百脑虫病毒的核心模块，它主要功能有检查安全软件、劫取用户隐私、静默推广安装其他应用及病毒文件等。
百脑虫执行流程图如下：

1、打包百脑虫的应用启动后，首先从assets文件夹中的加密数据文件中解密所有重要模块。其中包含第三方root提权工具、su文件、core核心模块、conbb病毒安装脚本、install-recovery.sh等。
2、判断用户手机是否处于root状态。如果不是root状态，将用户机型、系统版本等信息上报给云端，并从云端下载与机型、系统版本相应的已知漏洞的root提权文件，使用第三方工具执行root提权。
3、提权成功后将core模块复制到/system/app下成为系统应用，使用户无法通过正常方法卸载此应用。
4、core模块一直运行在后台，判断自己是否处于安全厂商沙箱环境中，如果是，则直接退出不做进一步行为。
5、core模块判断是否有安全软件服务在运行，如果是，尝试强制终止其服务进程。
6、core模块删除所有其他root工具及root授权管理应用，使其他应用无法获取root权限。
7、周期性地从后台静默下载安装众多其他应用及病毒文件。

四、详细分析
1、百脑虫重打包代码
百脑虫病毒是被其他应用重打包后传播的，一个被重打包的应用，入口函数中会加入一行病毒的启动代码。此应用运行时，百脑虫病毒代码将获得执行权限。
图6 百脑虫病毒的启动代码

病毒代码执行以后，从assets文件夹的krLib（文件名可变）加密数据文件的起始64个字节获取密钥KEY及配置相关信息。
图7 获取密钥及运行相关配置信息

从实际病毒样本中获取的密钥为“10249832931963293212373431424213”，运行
相关配置信息为“00000000000000010000000000000336”。密钥会用在解密百脑虫病毒其他模块及字符串。 母包APP层的解密算法有两种：dn_1、dn_2。dn_1是用来解密其他百脑虫相关模块，dn_2是用来解密关键字符串。
图8 加密的关键字符串
图9 解密函数

用已取得的密钥配合解密算法，可以还原关键字符串： 图10 解密后代码片段

图11 解密后百脑虫文件

此后，百脑虫会检测运行环境是否真实，如果检测到沙箱环境，病毒会自动退出。
通过环境检测以后，病毒判断系统是否存在文件“/sytem/bin/conbb”、“/system/xbin/conbb”、“/system/bin/su”、“/system/xbin”中的任何一个或服务进程“com.android.browser.internal.server”。如果是，则说明手机已经处于root状态，检验结果上报给远程服务器并执行后面的流程，如果病毒判断手机未root，则加载librgsdk.so模块执行root提权。librgsdk.so原本是正规厂商的root提权模块，但由于对调用者的验证不严谨，导致把接口暴露给了病毒作者。
图12 百脑虫提权流程

成功root后，百脑虫便开始安装core核心模块到系统目录。首先复制core文件到系统路径下(“/system/app/ BrowserInfoServer.APK”)，赋予系统应用权限644，使用户无法通过正常方式卸载此应用。并通过执行命令“am startservice -n com.android.browser.internal.server/com.android.phone.BrowserService”启动core服务。
图13 安装及执行core应用

core模块启动后会清理安装路径下的所有缓存的dex文件，并加载执行安装路径下所有JAR包的主入口“com.android.xb.init”。
图15 加载执行JAR包

为了更好地隐藏自己，core模块几乎所有的字符串都做了加密处理，并在执行过程中调用getSystemDecodeVaule动态解密的方式执行。
图16 动态解密关键字符串

图17 解密函数