Android.KungFu整体架构由两个模块构成，第一个模块(Loader)会在宿主运行到特定场景时激活，随后执行提权操作，并加载第二个模块(Payload)，Payload模块则常驻内存，执行各种威胁手机安全的操作。Android.KungFu不同的变种之间，区别主要在于不同的Loader，Payload模块则基本相同。当Loader模块被激活后，首先会试图获得ROOT权限。根据宿主软件的不同，Loader会采用不同的策略，如果Loader宿主本身需要ROOT 权限，Loader就会附着在宿主需要以ROOT权限执行的代码之后运行(例如一键XXX免费版，其中捆绑的Android.KungFu会嵌入在安装 XXX的代码中)。如果宿主本身不需要ROOT权限，Loader会利用公开的漏洞(NPROC_RLIMIT)在后台静默获取ROOT权限(例如音乐随 身听)。由于这个漏洞广泛的存在于Android2.1和2.2设备上，所以，即使手机没有ROOT权限，多数手机依然会受这个病毒威胁。

然后，随后，Loader会进行以下操作(不同的变种具体细节可能不同)：

将系统分区设置为可写

　　获取设备信息，包括系统版本，手机品牌，Device ID，SDK版本等数据，写mycfg.ini，并将此ini文件复制到/system/etc下重命名为.rild_cfg

　　使用AES加密算法解密Payload(Payload通常保存在宿主的assets中，名为Webview.db.init)，并将Payload复制以下位置：

　　/system/etc/.dhcpcd

　　/system/xbin/ccb

　　/system/bin/installd(将原始文件备份为/system/bin/installdd)

　　/system/bin/dhcpcd(将原始文件备份为/system/bin/dhcpcdd)

　　/system/bin/bootanimation(将原始文件备份为/system/bin/bootanimationd)

　　恢复系统分区为只读，并执行/system/xbin/ccb

　　至此，Payload已经完成金蝉脱壳，从宿主APK中成功的被释放出来了。由于病毒替换的关键系统文件(installd, dhcpcd, bootanimation)在开机过程中会自动启动，因此病毒实际上具备了以ROOT权限开机自动启动的能力。同时，由于Payload已经脱离APK 藏身于系统分区内，即使安全软件检测到病毒，也无法进行清理操作。

　　当Payload随系统自动启动之后，会尝试连接以下地址，获取攻击命令：http://search.gongfu-android.com:8511

　　http://search.zi18.com:8511

　　http://search.zs169.com:8511

　　由于Payload感染了多个系统进程，为避免相互冲突，当任意一个Payload进程连接至控制服务器后，便创建/system/etc/dhcpcd.lock文件锁来进行进程同步。

　　目前Payload已知的功能包括：

　　自动下载APK软件包至本地

　　静默安装APK软件包

　　启动指定APK软件包

　　静默卸载APK软件包

　　设置浏览器首页(未使用)

　　至此，病毒就会源源不断的向受感染的手机中自动下载并安装软件，从中获取高额利益了。

清除方法

　　使用专杀工具

　　由于Android.KungFu的特殊性，常规安全软件无法完全清除此病毒，因此LBE小组提供了针对Android.KungFu的专杀工具，彻底清理Android.KungFu在系统内的残留，您可以从http://www.lbesec.com/下载到此工具。需要注意的是，使用此工具之前，您必须使用安全软件全盘扫描，确保所有感染病毒的APK文件已被清理，否则有可能清除不彻底导致重新感染。

手工清理

　　我们推荐用户使用专杀工具，方便快捷，但如果您希望能自己动手的话，也可以手工清除Android.KungFu残留。同样在手工清除前，请使用安全软件全盘扫描，确保所有感染病毒的APK文件已被清理，否则有可能清除不彻底导致重新感染。

　　如果您的手机未安装过Busybox，请首先安装Busybox https://market.android.com/details?id=stericson.busybox

　　使用超级终端软件，或者在PC上使用adb shell连接至手机，获取root权限后，执行以下命令：

　　busybox mount –o remount,rw /system

　　busybox chattr –i /system/etc/.dhcpcd

　　busybox rm /system/etc/.dhcpcd

　　busybox chattr –i /system/etc/dhcpcd.lock

　　busybox rm /system/etc/dhcpcd.lock

　　busybox chattr –i /system/etc/.rild_cfg

　　busybox rm /system/etc/.rild_cfg

　　busybox chattr –i /system/xbin/ccb

　　busybox rm /system/xbin/ccb

　　如果/system/bin/installdd文件存在的话，执行以下操作

　　busybox rm /system/bin/installd

　　busybox mv /system/bin/installdd /system/bin/installd

　　如果/system/bin/dhcpcdd文件存在的话，执行以下操作

　　busybox rm /system/bin/dhcpcd

　　busybox rm /system/bin/dhcpcdd /system/bin/dhcpcd

　　如果/system/bin/bootanimationd文件存在的话，执行以下操作

　　busybox mv /system/bin/bootanimation

　　busybox mv /system/bin/bootanimiationd /system/bin/bootanimation

　　最后，重启手机，完成清理

　　reboot

对以上操作的一些说明：

　　chattr命令是用来去除文件的EXT2_IMMUTABLE_FL标志位。如果系统分区使用ext文件系统的话，病毒会给所有受感染的文件设置此标志 位，此标志位可以防止文件被删除(这也是有些用户尝试用RE管理器删除失败的原因)。如果您在执行chattr命令的时候出现错误，也不要惊慌，这说明您 的系统分区不是ext文件系统，只要随后的rm命令能够成功执行，就表示清理操作已成功。

结语和分析

　　以破坏系统、炫耀技术为目标的恶意软件早已淡出视线，如今的恶意软件都以明确的利益为导向，Android.KungFu也不例外。根据用户报告，该病毒 会自动向用户手机中安装并激活下列软件：大众点评、游戏快递、有你短信、京东商城、当当网、银联、盛大切客、云中书城等。很明显，这是一款通过自动推送并 静默安装软件，以获取推广费用为目的的恶意软件。根据当前市场上一个有效激活大约2元人民币的价格，我们不难算出病毒作者以损害用户经济利益为代价，轻易 攫取了高额的回报。

　　目前多数安全软件(包括我们LBE小组的软件在内)仅仅会扫描APK文件，而以Android.KungFu为代表的恶意软件，则已经具备初步的感染ELF文件的能力。安全厂商应尽快跟进，加强ELF文件扫描的能力。

　　由于Android平台的漏洞的频频出现，而厂商在ROM更新方面相对滞后，导致相当一部分Android设备暴漏在提权漏洞的威胁中。作为Android用户，您切不可认为不ROOT就等于安全(更何况，还有相当多的恶意软件无需ROOT也可以运行)。我们建议您：只通过安全的途径下载使用软件，不安装来历不明的软件(谨慎安装各种汉化版、破解版软件)，使用一款安全软件，通过以上途径来保护您手机的安全。