苹果aee是什么文件(AEE文件)

难怪“赞疯子”活跃在社交网络。如今有一个病毒版的《赞美狂人》活跃在网络上。近日，360安全大脑详细披露了一款兼容安卓64位的安卓原生病毒——“刷机狂魔”。

该病毒以虚假色情应用引诱用户上钩，通过短视频网络接口偷偷悄悄赞短视频、看微信官方账号，不知不觉让普通用户成为“僵尸粉”。用户可以下载安装360手机卫士拦截查杀此类病毒。

第二招改成了“僵尸粉”

“刷疯”通过色情应用传播

与常见病毒不同的是，“刷机狂魔”病毒非常狡猾。360安全大脑追踪数据显示，该病毒不仅可以通过修改系统文件、云控制加载等技术手段规避杀毒软件，还可以利用CVE-2019-2025(水滴漏洞)等安卓系统漏洞获取手机最高ROOT权限。如此一来，手机一旦感染病毒，就会被植入大量难以删除的低级恶意模块，让“工具人”苦不堪言，还可能遭遇恶意扣费。

从危害来看，“刷单狂魔”病毒的主要特点是使中招的手机成为短视频刷单、微信官方账号刷单阅读的“僵尸粉”，在用户不知情的情况下私自订购付费服务，拦截扣费短信，造成直接经济损失。在传播方式上，该病毒主要通过色情应用、小游戏等方式传播。

(“刷狂魔”病毒伪装的几个典型应用)

据360安全大脑监测数据显示，该病毒可以利用多个安卓系统漏洞获取手机最高ROOT权限，修改系统文件(aee_aed/debuggerd)，使用SVC指令隐蔽加载病毒体文件，从云端下载有效载荷，使用自定义加密算法保护自身不被杀毒软件发现。

ROOT三步举权，赞，扣费。

《刷赞狂人》蛇皮走掉杀软点

手机被“刷单狂魔”病毒感染后，会先从云服务器下载ROOT授权工具包，解密并释放病毒主文件kms_02ext，从而获取手机更高的ROOT权限，进行刷赞、刷阅读、恶意扣费等非法操作。据360安全大脑分析，“刷机狂魔”病毒从云端下载ROOT赋能包之前，其实会有一个复杂而隐蔽的准备阶段。

当用户无意中下载了一个带有病毒的应用，当他打开应用界面时，首先会看到循环加载的等待画面。此时的应用其实是“蒙在鼓里”，偷偷上传用户的手机号和设备信息，并下载ROOT lifting toolkit等其他功能模块，为获取手机ROOT权限等恶意行为做准备。在这个过程中，应用程序将释放和下载近50个jar文件。

为了吸引更多用户，病毒应用还会在假冒色情应用展示的视频页面上显示用户评论，以增加可信度，打消用户的防范心理。根据360安全大脑的溯源分析，视频页面的评论和id都是预设的内容，只是为了进一步迷惑用户。

此外，病毒应用程序还使用几个数据库文件来存储不同类别的相应信息。

病毒dfsywwy.data数据库存储了大量要下载的jar文件，数量庞大的插件就能看出来。如下所示:

当病毒应用发布的ss.jar文件成功从云端下载upnpclz.apk后，就为进一步下载ROOT empowerment toolkit做好了准备。

第一步:根提出权利

upnpclz.apk加载起来后会检查更新，并从云端下载ROOT提权工具包imgs_9.zip，解密后得到upz_5压缩文件。Upnpclz.apk会在加载时检查更新，并从云端下载根提升工具包imgs_9.zip。解密后会得到upz_5压缩文件。

接下来会加载libkm05 . so(64位手机用libkm05_64.so)，调用两个JNI函数解密km01释放“刷机狂魔”病毒主文件kms_02ext。

此时，病毒体文件kms_02ext运行后，将最终释放“赞美狂魔”病毒的核心邪恶模块km09_2970.so，并调用km09_2970.so的func_3()函数，从而完成提升ROOT权限、释放核心elf文件等操作。如此长的释放链，可以说“刷单狂”病毒有着极强的求生欲望。

需要注意的是，在func_3()函数中，病毒会先向C&C服务器发布设备信息，识别手机型号，选择合适的权限提升方案，获取手机ROOT权限。在这个过程中，病毒主要利用CVE-2013-2595、CVE-2016-5195(脏牛)、CVE-2019-2025(水滴)等漏洞实现手机ROOT权限。

第二步:短视频刷赞

成功获得手机ROOT权限后，核心邪恶模块km09_2970.so会从云端下载并解密短视频刷机模块v15.zip(解密后的一个so文件)，加载SO文件的do_main()函数，用于下载并解密v18_u.zip，这是“刷机狂魔”病毒完全解密的主文件kms_02ext。当...的时候

然后，libdy.so会读取短视频应用的token_shared_preference.xml、applog_stats.xml和Cookies文件，获取自动刷屏所需的用户token等个人登录信息，构造一个完整的短视频刷屏请求URL，通过解析返回结果& # 34；状态代码& # 34；、"is _ digg & # 34参数，判断刷赞成功与否。

此外，恶意模块km09_2970.so还会释放恶意文件liblad.so和wxop.dex Liblad.so会在中加载病毒文件/system/bin/debuggerro。init_array段，并在my_entry()函数中新建一个线程加载wxop.dex的com.wxop.Entry类的入口函数DoOp()，通过某社交应用的Webview访问指定的URL为微信官方账号刷阅读量。其微信官方账号阅读的代码片段如下:

第三步:恶意扣费

如果说病毒刷赞是把普通用户变成了“工具人”，那么接下来的恶意扣费将直接危及用户的钱包。此次，该病毒发布的恶意模块km09_2970.so会将恶意文件1.so、jarop.dex.jar注入com.android.phone的进程中，监控手机短信的发送、读取和写入，甚至私自订阅付费服务，拦截扣费短信。

该病毒执行短信屏蔽的恶意代码片段如下:

相关C&C服务器信息

相关APK列表

不要怕“刷疯”的套路

更新360手机卫士护航安全

对于普通用户来说，“刷赞狂魔”这种病毒强行占用用户手机的赞量和阅读量，不仅影响手机正常使用，造成个人信息泄露，而且通过恶意利用漏洞，直接对用户手机安全造成巨大威胁。同时，对于用户来说，当病毒作者获得ROOT权限后，无异于将手机完全交给了不法分子。一旦使用，很可能造成不可挽回的损失。

对此，360安全大脑给出以下安全建议:

1.寻找“360手机卫士”神援助:通过360手机卫士官网和各大应用市场及时安装/更新360手机卫士，对爱机进行全面“体检”；

2.防微杜渐:如果手机出现异常发热、屏幕广告等异常现象，及时使用360手机卫士进行体检、扫描、查杀病毒；

3.谨防桃色陷阱:病毒编写者往往利用人们的好奇心，精心设置陷阱，等待用户上钩。广大手机用户不要心存侥幸。通过正规的手机应用市场下载安装应用，可以有效规避中招风险；

4.谨慎发布:如果杀毒软件提示病毒，不要轻信病毒软件提示添加信任；

5.及时更新系统和补丁:及时升级系统，安装系统更新补丁，可以有效降低被利用的风险。