一、導讀
手機早已成為人們生活中不可或缺的一部分,在娛樂,移動支付,社交等方面都起到舉足輕重的作用,可以說在當今社會手機就是人們重要的“生存”工具之一。但是在享受時代帶給我們的福利的同時,一些“不懷好意”的人們也伺機而動,用各種非法的手段從眾多的網(wǎng)民身上謀取利潤,因為這些人的存在,嚴重的損害了普通人的利益,無論是去年爆發(fā)的勒索病毒,還是今年的銀行木馬,這些安全事件都應讓我們警醒,在互聯(lián)網(wǎng)時代我們還有很多事要做,我們的安全道路任重而道遠。
二、病毒威脅介紹
2.1 一不小心你就中招
近日,平臺監(jiān)測到一款新型病毒,經(jīng)過安全人員研究,發(fā)現(xiàn)其偽造成正常內(nèi)存清理軟件,在點擊后隱藏圖標,轉(zhuǎn)入后臺運行,上傳用戶信息,下載執(zhí)行惡意插件,對用戶信息安全造成極大威脅,為了保護廣大網(wǎng)民的安全,對此病毒和服務器地址進行了上報處理,在根源上斷絕病毒的傳播。
2.2 你的手機如何成為了病毒的溫床?
該病毒仿照正常手機清理軟件,混淆視聽,欺騙用戶下載,并且在運行后隱藏圖標轉(zhuǎn)而后臺運行。應用運行狀態(tài),如圖2-1,圖2-2所示:
2.2.1 隱藏圖標
通過包管理器設置圖片隱藏,如圖2-3所示:
2.2.2 軟件后臺駐留運行
通過接受廣播啟動服務,如圖2-4,圖2-5所示:
在Android版本5.0以上該樣本則采用了JobSchedule機制進行后臺進程保活,如圖2-6所示:
2.2.3 上傳用戶數(shù)據(jù)
病毒在用戶不知情的情況下發(fā)送數(shù)據(jù)包,私自獲取大量用戶設備信息,并且發(fā)送到指定url,如圖2-7所示:
上傳數(shù)據(jù)包中的用戶設備信息內(nèi)容(解密后結(jié)果),如圖2-9所示:
2.2.4 與遠程服務器交互
病毒運行過后會向主控服務器發(fā)送數(shù)據(jù)包,然后根據(jù)主控返回的結(jié)果執(zhí)行下一步的行動,如圖2-10,圖2-11所示:
抓包得到服務器返回的結(jié)果,我們可以大致判斷此時病毒主控服務開啟,但廣告推送的功能屬于關閉狀態(tài)。
結(jié)果表明服務正常運行,病毒向URL發(fā)送請求,確認下載插件的地址,下載插件,運行插件如圖2-12,圖2-13,圖2-14,圖2-15所示:
2.2.5 利用插件化技術隱秘執(zhí)行
按照常理病毒需要找準時機運行這些插件,但并不是直接在Android系統(tǒng)層直接運行。這里用到了一個近比較流行的插件化技術。在這個樣本中,病毒作者利用了一款開源的多開應用框架VirtualApp,運用此框架可以使得插件的作用效果大大增強,因為此框架使的插件實際是在Android系統(tǒng)與外部應用的中間層運行,插件的運行受系統(tǒng)本身的限制將會減少很多,近似于root的環(huán)境給病毒創(chuàng)造了絕妙的溫床,而虛擬機的環(huán)境又使得靜態(tài)的病毒檢測方法無法生效,提高了查殺難度,結(jié)合 VirtualApp的病毒確實可以肆無忌憚做很多事。
VirtualAPP實現(xiàn)程序內(nèi)部運行大致遵循以下流程,首先代理程序運行所需系統(tǒng)各種服務,使運行程序和VA為合為一體,其次修正應用數(shù)據(jù),保存原有數(shù)據(jù),然后數(shù)據(jù)整合在VA中代理運行,終交于系統(tǒng)執(zhí)行。
2.2.6 破壞殺軟主動防御
對服務器下發(fā)的插件分析,發(fā)現(xiàn)存在惡意行為。經(jīng)過抓包后處理,我們發(fā)現(xiàn)程序經(jīng)過解密終會生成2個Jar包,如圖2-19所示:
該jar包在運行后會主動破壞系統(tǒng)中存在的主防,并且會重啟手機,目前可以確認會被破壞主防的殺軟有LBE安全大師以及360的主動防御。
2.3 主控地址功能
主控地址 功能
http://api.*.top:9000/api/channel/cfg?** 確定整個服務的功能狀態(tài)。
http://www.*are/cr/sv/getGoFile?name=goplaysdk_statistics_s250.dat 獲取插件下載地址。
http://hc**day:8082/spdumread/service/rtLogRecord 作為獲取設備信息的地址。
http://alo*.com/app_logs 基座中包含的友盟統(tǒng)計模塊。
http://hc.s**op/gpfile/pfiles/ 惡意插件的下載地址。
2.4 主控地址追蹤
我們只對其服務器域名進行溯源,通過域名的whois查詢,獲取到的大部分信息都被隱藏,包括注冊信息,聯(lián)系人,公司信息,其中只有一個域名信息較為完整,如圖2-20所示:
根據(jù)基本信息我們大致知道注冊人的基本情況,根據(jù)郵箱查找相關信息,查看qq的情況,判斷是被盜號過后注冊的郵箱,如圖2-21,圖2-22所示:
三、防范及處置建議
建議用戶提高警覺性,使用軟件請到官網(wǎng)下載。到應用商店進行下載正版軟件,避免從論壇等下載軟件,可以有效的減少該類病毒的侵害。關注”暗影實驗室”公眾號,獲取新實時移動安全狀態(tài),避免給您造成損失和危害。
為防止病毒變種,用戶發(fā)現(xiàn)已經(jīng)安裝此病毒的,可以請專業(yè)人員分析此病毒。
安需要做到防患于未然,可以使用恒安嘉新公司的APP威脅檢測與態(tài)勢分析平臺進行分析對Android樣本提取信息并進行關聯(lián)分析和檢測;
用戶發(fā)現(xiàn)感染手機病毒軟件之后,可以向“12321網(wǎng)絡不良與垃圾信息舉報受理中心”或“反網(wǎng)絡病毒聯(lián)盟”進行舉報,使病毒軟件能夠時間被查殺和攔截。
聲明
本報告內(nèi)容不代表任何企業(yè)或任何機構(gòu)的觀點,僅是作者及所在團隊作為技術愛好者在工作之余做的一些嘗試性研究和經(jīng)驗分享。
本報告雖是基于技術團隊認為可靠的信息撰寫,團隊力求但不保證該信息的準確性和完整性,讀者也不應該認為該信息是準確和完整的。這是主要是因為如下一些理由(包括但不限于):
,互聯(lián)網(wǎng)的數(shù)據(jù)無處不在,我們所能接觸到的是極為有限的抽樣樣本,本身不具備完整性。
第二,不同的技術方法獲取的數(shù)據(jù)有一定的局限性。比如,終端agent獲取的數(shù)據(jù)只能涵蓋已部署終端的范圍;爬蟲技術的時效性和完整性受限于爬蟲的規(guī)模和能力;網(wǎng)絡側(cè)探針技術受限部署探針的節(jié)點數(shù)量并只能對活躍的行為進行感知。
第三,即使已經(jīng)納入到分析范圍的樣本,也會由于技術團隊規(guī)則和算法的選擇造成統(tǒng)計結(jié)論偏差。
第四,技術團隊所得出的結(jié)論僅僅反映其數(shù)字本身,進一步主觀得出優(yōu)劣性的、排名性的、結(jié)論性的觀點是危險的。因為安全事件往往伴隨著業(yè)務的良性增長,開放程度,法律法規(guī)以及黑色產(chǎn)業(yè)鏈的演進等多方面的因素,是一個復雜的生態(tài)問題。
此外,團隊不保證文中觀點或陳述不會發(fā)生任何變更,在不同時期,團隊可發(fā)出與本報告所載資料、意見及推測不一致的報告。團隊會適時更新相關的研究,但可能會因某些規(guī)定而無法做到。
后,即使未經(jīng)作者的書面授權(quán)許可,任何人也可以引用、轉(zhuǎn)載以及向第三方傳播。但希望同時能附上完整的原文或至少原始出處。這樣的考慮在于:,避免選擇性的部分引用造成的不必要的誤解;其次,避免某些內(nèi)容的錯誤經(jīng)原作者發(fā)現(xiàn)并及時調(diào)整后沒有體現(xiàn)在轉(zhuǎn)載的文中。
(AM 8:00-12:00 PM 14:00-18:00)