4月初,Trustlook安全研究人員在使用App Insight對國內(nèi)某商店進(jìn)行常規(guī)審核時,截獲了一個名為“換機(jī)精靈”的樣本,該應(yīng)用作為一款換機(jī)工具,實則為惡意刷量木馬,截止我們發(fā)現(xiàn)樣本的當(dāng)日,該應(yīng)用在國內(nèi)各大軟件市場擁有高達(dá)上億次下載,以下為樣本的存檔信息:
?
該惡意軟件具備極高的威脅:
●具備遠(yuǎn)程控制的安裝任意應(yīng)用/插件并執(zhí)行的后門;
●利用沙盤技術(shù)并主動檢測各類殺毒軟件逃避檢測;
●腳本模擬點擊、惡意創(chuàng)建桌面快捷方式等;
●申請大量權(quán)限,收集設(shè)備隱私數(shù)據(jù)并傳輸?shù)絢y.5rob.com和au.goyihu.com等;
●惡意刷量,發(fā)送大量網(wǎng)絡(luò)請求,消耗網(wǎng)絡(luò)資源
該應(yīng)用包含了4個靜態(tài)庫以及其作用分別為:
●Libiohook.so
Virtual App核心庫,包含SubstrateHook框架,該庫暴露了大量接口給jni層用于運行時hook。
●libHuanJi.so
SSDP協(xié)議庫,用于wlan局域網(wǎng)查找發(fā)現(xiàn)設(shè)備
●Libjpush174.so
極光推送
●libTmsdk-2.0.6-mfr.so
騰訊御安全sdk
此外該應(yīng)用在Android Manifest中不正常的申請了大量的權(quán)限:
包括聯(lián)系人、讀寫收發(fā)短息、通話記錄、拍照、錄音、位置、賬號、日歷、儲存、安裝列表等。
盡管換機(jī)類應(yīng)用需要大量的系統(tǒng)權(quán)限,但有些權(quán)限的申請實屬勉強(qiáng),并存在一定的安全威脅,實際上這些權(quán)限的目的是為了保障沙盤中的惡意應(yīng)用能夠順利運行。
該應(yīng)用運行時,用戶并不會察覺到應(yīng)用有明顯的惡意行為,但通過流量監(jiān)控我們會發(fā)現(xiàn)幾個比較有意思的網(wǎng)絡(luò)行為:
http://ky.5rob.com/active/security/
通過該鏈接,會從服務(wù)器獲取主流殺毒軟件的列表:
這些請求返回了預(yù)安裝app列表:
通過返回數(shù)據(jù),我們截獲了這些應(yīng)用:
但是這些安裝包被下載之后,并沒有調(diào)用安卓系統(tǒng)自帶的包安裝管理器詢問用戶是否進(jìn)行安裝,那么這些應(yīng)用是怎么被安裝的呢?經(jīng)過逆向工具對函數(shù)簽名的還原,我們鑒別出了該應(yīng)用使用了APP插件化框架——VirtualApp,也正是libhuanji.so所對應(yīng)的java層代碼,通過InstallPackage函數(shù),上述的惡意軟件將被靜默安裝到應(yīng)用沙盤中并執(zhí)行,而這一切用戶卻渾然不知。
我們可以發(fā)現(xiàn)它根據(jù)服務(wù)器返回的參數(shù)security_check的配置,預(yù)先檢測了列表中的殺毒軟件是否被安裝,如果發(fā)現(xiàn)了殺毒軟件便不會安裝惡意插件,這極大的提高了自身的存活率。
這些惡意應(yīng)用在沙盤中運行了以后,開始頻繁的進(jìn)行網(wǎng)絡(luò)請求,以下為部分請求:
此外,我們在代碼中發(fā)現(xiàn)了更多隱藏的惡意代碼:
如果服務(wù)器下發(fā)了模擬操作的腳本,在com.hj.scripter.execute.a中,會模擬操作沙盤中的應(yīng)用:
并且,在特定的條件下,使用一些功能,App將不經(jīng)用戶同意,私自下載第三方APP并安裝在沙盤中,在用戶的桌面上創(chuàng)建快捷方式。
其實,這已經(jīng)不是換機(jī)精靈第一次被人發(fā)現(xiàn)有惡意行為,傳信官網(wǎng)曾于2018年4月就已經(jīng)發(fā)布過聲明:
該聲明聲稱打包的sdk并非自己編寫,未來將嚴(yán)格管控這些問題,但事實上真的如其所說嗎?為何相似的惡意行為不到一年又卷土重來?
我們接下來對“換機(jī)精靈“預(yù)安裝app列表中下載的三款惡意插件進(jìn)行分析,找出“第三方sdk”的幕后黑手。
通過分析發(fā)現(xiàn),com.cx.photo2與com.cx.photo6基本為同一APP,代碼相似度極高,在MainReceiver中,此APP啟動時便會檢查安全軟件,如果用戶未安裝相關(guān)的安全軟件,便開始周期執(zhí)行惡意功能并啟動InvisibleService2服務(wù)。
在InvisibleService2 onCreate中,一個不可見的透明窗口被創(chuàng)建,覆蓋在所有應(yīng)用的最上層,系統(tǒng)任務(wù)欄的下層,并創(chuàng)建了一個webview用于加載網(wǎng)頁。
這樣不尋常的創(chuàng)建方式并不會被用戶察覺,在用戶使用app時,所有的屏幕觸摸,滑動事件會同時響應(yīng)到隱藏的webview上,模擬成用戶對webview網(wǎng)頁中的操作,這樣的目的是,通過真實的用戶網(wǎng)頁瀏覽行為,欺騙廣告運營商的流量統(tǒng)計反作弊算法,來變相進(jìn)行刷量的目的。
然后該應(yīng)用發(fā)送請求到:
http://d.bjsdknet.com/index.php?r=api/dynamic
獲取了更多的刷量插件:
"http://down.dd799aa.com//upload/sdk3/cjmob20190301.jar"
"http://down.dd799aa.com//upload/sdk2/SDK31dex20190220.jar"
"http://down.dd799aa.com/upload/plog/mfgz.jar"
"http://down.dd799aa.com//upload/sdk2/sdk04dex20190218.jar"
"http://down.dd799aa.com/upload/plog/N38de20181225.jar"
這些插件將被下載并運行,每輪任務(wù)執(zhí)行完成后又會去請求新的刷量sdk來下載執(zhí)行,我們對截獲的樣本進(jìn)行了逆向分析,發(fā)現(xiàn)這些插件被用來進(jìn)行廣告刷量,視頻刷量,電商產(chǎn)品推廣等不法牟利的行為。而這些行為都是在用戶不知情的情況下運行的。
通過搜索引擎的搜尋,我們發(fā)現(xiàn)早在幾年前傳信科技就已經(jīng)因投放惡意軟件而多次被曝光過:
而另外一款被下載到沙盤中,名為pgy sdk就顯得更加專業(yè)了,我們沒能找到其與傳信科技的聯(lián)系,但通過對代碼的分析,發(fā)現(xiàn)大部分由pgy所下載的jar惡意插件包,均包含一個用于統(tǒng)計感染量的鏈接,網(wǎng)頁最終指向cnzz統(tǒng)計:
通過自增id的方式,在dandelionmob.com域名上,我們最終從其網(wǎng)站上找出200余個用于統(tǒng)計感染量的網(wǎng)址,這意味著惡意sdk插件包可能擁有上百個,該sdk不僅可以藏身于Virtual App沙盤中,一些正常應(yīng)用中也包含該sdk的身影,而為了避免被查殺,開發(fā)者展現(xiàn)了自己嫻熟的免殺技巧,逃避殺毒軟件的掃描,字符串是靜態(tài)掃描的重要特征之一,對字符串的處理方式在樣本中也多種多樣,其中包括但是不限于各種字符串拆分,編碼,加密等混淆方式。而且,為了避免被使用固定的包名查殺,同樣的代碼在幾份sdk中使用了不同且無規(guī)律的包名。
今年4月份,Trustlook團(tuán)隊向該應(yīng)用商店通告了換機(jī)精靈的惡意行為,傳信科技在刷量行為敗露后,發(fā)布了新版的換機(jī)精靈應(yīng)用,清除了相關(guān)代碼并關(guān)閉了服務(wù)器接口。他們對原有的惡意代碼進(jìn)行刪減后,開發(fā)了一款新的基于VirtualApp多開工具—小隱大師,同時使用了360加固安全服務(wù),盡管目前為止,我們暫未發(fā)現(xiàn)其有明確的惡意行為,但該應(yīng)用保留了之前“換機(jī)精靈”的大部分代碼,為了掩人耳目,具備極高的安全風(fēng)險。而且考慮到傳信科技之前的行為,他們極有可能在風(fēng)頭過后又卷土重來。
VirtualApp作為一款應(yīng)用沙盤框架,本身沒有惡意代碼,對于運行在沙盤中的應(yīng)用,VirtualApp模擬成了Android系統(tǒng)的Framework層,提供了一個APP運行時所需要的環(huán)境,因此使用了沙盤技術(shù)的應(yīng)用無法避免要申請大量的系統(tǒng)權(quán)限,同時也具備了Hook沙盤中的應(yīng)用的能力,多被用于應(yīng)用多開、正規(guī)應(yīng)用修改/插件版、馬甲包等,因此可以修改原應(yīng)用的正常執(zhí)行流程,盜取包括且不限于用戶的賬號密碼及各類隱私等。
Java語言作為一門動態(tài)語言,具備完善的代碼反射機(jī)制,Android平臺得益于這項技術(shù),可以在線上期通過熱更新的方式修改現(xiàn)有的程序,在改善了用戶體驗的同時,也帶來了大量的安全隱患,惡意軟件作者同樣利用了這項技術(shù)威脅到了用戶的安全,通過類加載器DexClassLoader可以在運行時加載并解釋運行dex文件,達(dá)到隱藏惡意代碼的目的。即便用作熱更新,使用這項技術(shù)時,要對dex文件的完整性做校驗,被加以利用后,很可能會導(dǎo)致惡意代碼的注入。
本文通過逆向分析換機(jī)精靈樣本,卻無意中發(fā)現(xiàn)了一個龐大的黑產(chǎn)集團(tuán),在對相應(yīng)的SDK使用統(tǒng)計的鏈接中,Trustlook團(tuán)隊發(fā)現(xiàn)了將近300個惡意插件,實際上這還只是其冰山一角,這些插件都編寫的非常專業(yè),而且其中運用了各種免殺手段,由此可見黑產(chǎn)對怎樣使用多開工具已經(jīng)有了很多年的積累。在上期的熱更新一文中,我們公布了最熱門的應(yīng)用中熱更新的使用比例,而在這些應(yīng)用中使用了Virtual App等多開工具也并不罕見,因此應(yīng)用商店很難完全禁止這些技術(shù)在App中的使用,這就給予了黑產(chǎn)極大的便利,而普通的代碼審核也很難檢測到動態(tài)設(shè)定的惡意行為。
單純的靜態(tài)審核或動態(tài)沙箱都很難有效的檢測到這些惡意行為,準(zhǔn)對這種狀況,Trustlook團(tuán)隊獨立研發(fā)移動樣本深度分析審核平臺App Insight。用戶可上傳Android APK文件,并在幾分鐘內(nèi)收到詳細(xì)的安全分析報告。App Insight使用了真實設(shè)備沙箱系統(tǒng),通過靜態(tài)和動態(tài)結(jié)合的分析方法發(fā)現(xiàn)各類隱藏的惡意和敏感行為,幫助安全人員和應(yīng)用商店高效的審核移動樣本,確保移動端用戶的隱私和數(shù)據(jù)安全。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 為什么年輕人不愛換手機(jī)了
- 柔宇科技未履行金額近億元被曝已6個月發(fā)不出工資
- 柔宇科技被曝已6個月發(fā)不出工資 公司回應(yīng)欠薪有補(bǔ)償方案
- 第六座“綠動未來”環(huán)保公益圖書館落地貴州山區(qū)小學(xué)
- 窺見“新紀(jì)元”,2021元宇宙產(chǎn)業(yè)發(fā)展高峰論壇“廣州啟幕”
- 以人為本,景悅科技解讀智慧城市發(fā)展新理念
- 紐迪瑞科技/NDT賦能黑鯊4 Pro游戲手機(jī)打造全新一代屏幕壓感
- 清潔家電新老玩家市場定位清晰,攜手共進(jìn),核心技術(shù)決定未來
- 新思科技與芯耀輝在IP產(chǎn)品領(lǐng)域達(dá)成戰(zhàn)略合作伙伴關(guān)系
- 芯耀輝加速全球化部署,任命原Intel高管出任全球總裁
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。