一、概要

2018年4月,腾讯安全曝光了“寄生推”,揭开了流量黑产的面纱,让大众了解到黑产正逐步隐藏到幕后,通过伪装正规SDK的方式,借助大众开发者触达用户,然后动态下发指令,通过恶意广告和应用推广,赚取广告推广费用,实现灰色牟利。无独有偶,近日,依托腾讯安全大数据,腾讯安全反诈骗实验室追踪到暴风影音、天天看、塔读文学等众多应用中集成的某SDK存在下载恶意子包,通过webview配合js脚本在用户无感知的情况下刷百度广告的恶意操作。

该恶意SDK通过众多应用开发者所开发的正规应用,途经各中应用分发渠道触达千万级用户;其背后的黑产则通过恶意SDK留下的后门控制千万用户,动态下发刷量代码,大量刷广告曝光量和点击量,赚取大量广告费用,给广告主造成了巨额广告费损失。

根据安全人员详细分析,此恶意SDK主要存在以下特点:

1. 该SDK被1000+千应用开发者使用,通过应用开发者的分发渠道抵达用户。主要涉及的应用包括掌通家园、暴风影音、天天看、塔读文学等,潜在可能影响上千万用户;

2. 刷量子包通过多次下载并加载,并从服务器获取刷量任务,使用webview加载js脚本实现在用户无感知的情况下自动化的进行刷量任务。

此类流量黑产给传统的广告反作弊带来了极大挑战,传统通过IP、曝光频率、点击率等表象数据形成的反作弊策略难以识别这种控制大量真实设备做’肉鸡’的刷量作弊,使得大量广告费用流入黑产手中,却无法给广告主带来应有的广告效果。

二、SDK作恶流程和影响范围

此恶意SDK集成在应用中的那部分代码没有提供实际功能,其在被调用后会定时上报设备相关信息,获取动态子包的下载链接,下载子包并加载调用。然后由子包执行相应的恶意行为。

恶意SDK作恶流程示意图:

受恶意SDK影响的主要应用列表:

三、恶意SDK作恶行为详细分析

此恶意SDK被众多的中小应用开发者集成,我们以应用塔读文学为例,对其恶意行为进行详细分析。

恶意SDK代码结构:

此sdk代码较少,没有什么实际的功能。其在被加载调用后,会设置定时任务,每隔3600秒(1小时)启动GatherService,上报设备相关信息,获取动态子包__gather_impl.jar的下载链接。

GatherService链接服务器,获取__gather_impl.jar的下载链接。

请求链接:http://gather.andr****.com:5080/gupdate/v1。

请求数据:包括uid、应用包名、设备id、应用版本、手机厂商、型号、系统版本、imei、sdk版本等内容。

返回内容:包括子包的版本、下载url、文件md5。

动态加载下载的__gather_impl.jar。

子包__gather_impl.jar代码结构,此子包的主要功能有:1、上传用户设备信息,2、下载并动态加载子包stat-impl.jar。

1)链接服务器,上传用户设备信息

服务器链接:http://userdata.andr****.com/userdata/userdata.php (此url在分析时已失效,无法链接)。

上报内容:包括位置信息(经纬度),用户安装列表(软件名、包名),设备信息(厂商、型号、fingerprint,是否root),deviceid、手机号、运营商、imei、mac等。

2)再次请求服务器,获取stat-impl.jar的下载链接。

请求链接:http://iupd.andr****.com:6880/wupdate/v1。

请求数据:包括uid、imei、sdk版本、手机厂商、型号、系统版本、应用包名、设备id、设备指令集等内容。

返回内容:包括子包的版本、下载url、文件md5。

子包下载完成后,调用native方法动态加载此子包。

stat-impl.jar的代码结构:

stat-impl.jar子包被加载后,线程com.drudge.rmt.g会被启动,其作用主要是用来联网获取刷量任务,并调度任务的执行。

主要的刷量任务包括:1、刷百度搜索的关键字,2、使用js脚本实现自动点击、滑动来刷百度广告和亿量广告的点击,3、使用webview刷网页访问。

1. 刷百度关键字搜索

此任务会根据获取json字符串,进行相应的操作,包括设置BAIDUID、更新配置、添加任务、设置剪切板和使用关键字刷百度搜索。

设置关键字,使用webview加载对应的url:

捕获到的刷百度关键字的webview加载请求:

链接服务器http://tw.andr****.com:6080/wtask/v1获取相关任务,并将任务内容存入[package]/cache/volley目录下:

2. 使用js脚本刷百度广告

使用webview加载http://mobads.baidu.com/ads/index.htm,并在加载完成后执行js脚本实现自动滑动、点击、保存等操作来自动刷广告。

相关的js脚本。

1)js函数定义滑动、点击、保存等操作。

Java层解析并实现js层传递过来的操作命令。

2)js函数判断并获取页面元素。

3)js函数计算页面元素相对位置,并进行滑动、点击操作。

捕获到的刷百度广告的webview加载请求:

3、使用webview刷网页访问

此任务向服务器请求需要访问的url链接,在获取到相应的网页url后,使用webview加载进行访问。

请求需要访问的url链接

请求链接

http://us.yiqimeng.men:8080/geturls?k=beike-xinshiye&c=5

返回内容

["http://m.xinshiye.cc/cars/17/10/21/707989.html?content_id=707989u0026key=x2HAJuZaaa9YWpVa8EXTqOmHHUxhSnj75xhhAS7f6tveQsphsCm3jc9xrhV4RZbRzgm%2FQqzCVcw2dvukMqw25Q%3D%3Du0026_t=1511190410",

"http://m.xinshiye.cc/cars/17/10/11/234818.html?content_id=234818u0026key=NzLZyHQXsCdpS6bkAWab2LSzd2XApbGOJYUuN%2Bm4PFsoWk1l%2FnZSD8M1yp1cuhz%2FdL0uoNG93TVt8ai6zEU%2BQw%3D%3Du0026_t=1511190560",

"http://m.xinshiye.cc/cars/17/11/26/1769446.html?content_id=1769446u0026key=8KLxL1fm2gwNDxqT6nsSAbQ07kcEZRHBrekhzNSJcNaAg1nZmbW49pQ3EaEYJfMUeMlwSX4KzdliXJ3O37fs9g%3D%3Du0026_t=1513046929",

"http://m.xinshiye.cc/cars/17/10/31/1444661.html?content_id=1444661u0026key=mODVhDy0zyzBGH1G6sTwDYXqiy3D7pDfymsirda6s5%2BW8tarfIDPjuhT3mkqeMMDKzKr%2BFVC2Py2gzsNkMniHw%3D%3Du0026_t=1509589907",

"http://m.xinshiye.cc/cars/17/12/09/1921549.html?content_id=1921549u0026key=0XFxkCX0Bn4k%2Fw5%2FqvlSIOCREqEWoJ5jimqn%2BZAeJIwksQzydyT0AZFAVZJAritm3hpGza4TFNlONZDtoY%2BfTA%3D%3Du0026_t=1513045278"]

使用webview访问获取url:

捕获到的刷求医不如健身网的webview加载请求:

四、相关URL整理

五、结语

从近期Android端恶意应用的作恶手法来看,恶意开发者更多地从直接开发App应用转向开发SDK,向Android应用供应链的上游转移。通过提供恶意的SDK给应用开发者,恶意开发者可以复用这些应用的分发渠道,十分有效的扩大影响用户的范围。而在恶意SDK的类别方面,黑产从业者主要把精力放在用户无感知的广告刷量和网站刷量等方向,通过使用代码分离和动态代码加载技术,可以完全从云端下发实际执行的代码,控制用户设备作为“肉鸡”进行广告、网站刷量等黑产行为,具有很强的隐蔽性。

这类流量型黑产逐渐增多,不仅对手机用户造成了危害,同时也给移动端广告反作弊带来了很大的挑战,传统基于IP、曝光频率、点击率等表象数据形成的反作弊策略难以识别这种控制大量真实设备做’肉鸡’的刷量作弊,难以保障应用开发者和广告主的正当权益。

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

前言: 

移动平台的黑产威胁一直是我们的研究对象,2018年4月我们在《银行提款机惊现病毒:绕过杀毒软件达到牟利目的》报告中揭露病毒技术,运作流程及感染数百万用户情况,用户不小心安装并运行,很短时间内吸走大量用户费用,且隐蔽性极强,传统杀软完全束手无策,据腾讯安全反诈骗实验室数据监控发现变种病毒家族传播,攻击面,范围均发现恶意软件,自我社工隐藏方式以及动态加载组装,均同一批由专业团队协助完成整个黑产任务,我们借用生活中银行提款机中自动拒员机命名为“银行提款机”。

根据腾讯反诈骗实验室反馈,去年1月开始出现,截止6月中旬,短短半年时间里累计感染量超过百万台设备,一方面,银行提款机病毒完全不受系统版本有无Root限制,另一方面由于Google增强系统防护能力,使黑产行业不得不转移阵地,攻击市场占有率高的手机。

以恶意软件产业链视角看移动平台黑产趋势,主要表现整合技术手段,传播方式,攻击对象,变现方式和资源协调五个方面,通过在政策,社会,技术多层面协同联动,有力打击平台违规行为,切实净化网络文化环境。

一、变种病毒特点

腾讯安全专家分析发现该类型恶意软件,主要存在以下特点:

技术对抗手段:

1)热门软件进行打包传播,针对游戏类,色情类,工具类应用嵌入恶意代码

2)代码混淆程度更高,同时加固技术已经成为该类恶意软件的标配

3)云端服务器配置更新恶意支付SDK,动态拼接执行恶意操作

4)恶意扣费SDK公司化运作,病毒集成一款或多款恶意扣费SDK,幕后负责全面的查杀对抗

黑产变现手段:

1)扣费短信:从云端获取扣费sp号码,操控中毒设备发送扣费短信

2)广告流量:嵌入恶意广告插件应用中,通过推送广告进行流量变现

3)应用分发:通过手机应用分发,类似病毒的手法在用户手机上安装软件

二、变种病毒影响面

2.1 软件名热词

下图为该恶意扣费类软件名称的热词云图,通过软件属性分类,将该恶意扣费类软件大致集中在色情与游戏两大类。

image001.png

2.2 变种病毒样本收集

根据后台数据反馈来看,2018上半年恶意样本呈现高速增长,在与安全厂商持续对抗下,下半年样本量呈下降趋势,同时恶意开发者也密切关注这一领域,在样本量减少的情况下,通过不断变换入侵手法达到同样的效果。

image003.png

2.3 变种病毒感染情况

根据大数据显示,在2018年6月~2019年2月,感染用户呈上升趋势,此类病毒在该段时间内共感染用户40w左右。

image005.png

2.4 变种病毒类型分布

2018~2019年初,新增变种病毒类型主要为色情类占比高达(41%);其次为游戏类占比(35%),工具类(17%), 其他类型占比(7%)。

image007.png

三、攻防对抗

3.1 时间变化

随时间变化黑产推出不同攻击方法,攻击面,频率,范围等的恶意软件,以及与正常软件混杂在一起活动对抗检测。

image009.png

3.2 功能对比

以下是新老病毒对抗点如图,对抗点分析

image011.png3.3 运行流程图

image013.png

3.4 静态技术

1、加固技术给病毒提供了极好的隐藏手段,此恶意软件大量使用加固技术隐藏自身,企图逃逸隐藏检测,早期的DEX可执行代码整体加密存放到assets目录,演变到应用层代码深度混淆解壳代码,再到目前Native层动态加载加密的恶意代码,开发者也在费尽心思增加安全厂商逆向检测成本。

图片1.png

2、基于安卓NDK模块化开发,自动化生成不同的字符串替换加密算法,字符串信息进行加密动态加载后释放,软件本身还使用加固厂商策略加固软件,从而加大破解分析的难度。

image019.png3.5 执行流程

热门应用成为伪装对象,改变携带加密种子释放释放恶意模块流程,云端下与本地释放拼接执行,此类模块涵多个支付模     块,独立运行,某些第三方提供的支付SDK存在拦截删除短信的行为,当用户点击运行发送短信,并不会收到扣费的确认     (二次确认)短信,原因是因为该短信已经被拦截或删除。

image021.png3.6 云控技术

更新判黑产插件,恶意自定义DTX文件解密后得到JiePayPlugin,Shunpay,Zhangpay等专用插件,有的改用payload     文件并存储在云服务器,隐藏在So文件中,通过云端下发payload文件,在用户设备执行恶意功能代码,传统厂商很难捕获恶意代码进行检测。

image023.png

四、黑产业链情况

4.1 插件制作

目前已知的插件分布在五大不同病毒家族,带有很高类病毒行为属性,提款机病毒,暗扣家族集成多款黑产插件,重打包嵌入恶意行为插件,包括窃取隐私,删除扣费短信,匿名弹窗推广及用户影响程度。

image025.png 4.2 运作过程  

通过对恶意软件动态监控分析,恶意软件产业链背后的主要成员,包括黑产开发者,广告商,网站,分发平台四部分组成,他们拥有不同的技能和资源,运作方式如下图:

image027.png◆  开发者人员,具备正常研发人员能力,专业化处理视频图像图标,设计具有诱惑性图标,诱导用户安装,还具有一定的编码测试病毒软件能力,并且能够正常运行软熟悉黑产运作流程,集成黑产专用插件SDK到嵌入到安装包中。

◆  广告商负责寻求投放业务,具备广告投放能力,以及具备数据分析能力的合作伙伴

◆  网站主,广告商,分发统计平台联系在一起,拥有分发系统访问权限,负责恶意软件投放和管理分发,广告方,黑产平台均能查看投放情况,黑产软件传播,感染及牟利情况。

4.3 利益链条

该类APP能够在短时间内产生经济效益,因此牟利人员参与其中进行利益分成,并且具有完善的黑色产业链条,把样本发布到某网络推广平台,小众应用市场,应用内推广,色情网站、部分游戏或者游戏外破解网站等。由于色情APP本身具有诱惑性,容易激发用户的好奇心下载安装,一旦成功安装到用户手机上运行,会后台偷偷订购移动运营商sp收费服务,应用内推送更多恶意推广软件,黑产参与到sp服务与广告商费用分层。

image029.png

4.4 溯源信息 

通过黑产的网络域名分析,挖掘黑产背后的团伙信息,对多个黑产样本溯源发现,此域名在恶意样本活动频繁,据推测是黑产分发统计运作平台。

image031.png

五、安全建议及规范

1.检查每个应用程序的权限:使用软件过程中,警惕发送短信提示弹窗,确认程序所申请的权限是否与该软件相符,建议禁止软件的短信权限以减少风险。 

图片2.png

2.安装安全软件并保持更新:安装腾讯手机管家之类的安全软件,可以及时发现木马病毒并帮助一键清除。

图片3.png

3.从正规应用程序商店下载软件:应用市场鱼龙混杂,许多不正规的应用市场上线软件时并未经过安全检测,因此存在许多安全隐患,请勿在小型网站或破解网站下载未知安全应用。

4.从正规渠道购买手机:建议用户在购买新手机时应尽量选择大型正规卖场,避免手机系统被装入恶意预装软件。

5.养成查看消费账单的习惯:建议用户在账单日及时查看消费账单,及时发现可疑的扣费信息。

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

前言

近期,腾讯安全反欺诈实验室发现一批伪装日韩快递窃取一些韩国金融机构客户使用的身份验证信息银行拦截木马,病毒木马伪装成韩国CJ 대한통운택배“DJ“快递,日本佐川急便“急便”快递等方式诱导受害者进行安装,通过隐藏图标潜伏在用户手机,对受害人的手机远程控制,盗取受害人手机的敏感信息,激活设备管理器导致无法卸载,最后通过监控手机的银行短信验证码,实现窃取用户银行卡里的金钱。

腾讯安全反欺诈实验室通过对国内外银行木马的监控和数据研究,并通过本报告对日韩银行木马与国内银行木马的差异及其变化趋势进行总结。

日韩银行木马特性与趋势如下:

l  日韩银行木马伪装快递类应用,以此诱骗用户下载安装

l  韩国银行木马威胁相比日本更为严重,占比达84%+;同时日本银行木马近期出现高速增长

l  日韩银行木马低端手机更容易中招

l  日韩银行木马攻击能力多样化诈骗风险形势无法缓解

l  日韩银行木马攻击目标多样:银行类、密码类、游戏类、贷款类

l  银行木马病毒紧跟热点、与时俱进的诈骗手段也日趋多样化

一、影响面分析

日韩银行木马以伪装韩国“DJ“快递占比最大,伪装日本“急便”快递高速增长

日韩银行木马大量通过伪装快递类应用,诱骗用户安装运行。其中,以伪装韩国“DJ“快递的应用数量最多,占比达84%。而伪装日本“急便”快递的银行木马也在高速增长中,8月爆发增长74.81%。

日韩银行木马低端手机更容易中招,中招人群多集中在一线城市

日韩银行木马病毒感染的手机更多集中在2000元以下的低端机器中——受感染手机中价格2000元以下占比51.37%;

二、病毒技术演进分析

日韩银行木马免杀技术多样化演进

在手机自身安全能力和手机安全软件拦截能力全面提升的情况下,病毒类型也持续朝着多样化隐秘化方向发展,通过各种壳、动态加载等对抗技术绕过安全软件的查杀。

日韩银行木马融合多种特征向高危化演进

日韩银行木马对手机用户隐私数据(手机信息)上传、隐私数据(联系人信息)隐私“青睐”有加,通过社会工程学诈骗获取用户的个人银行卡、身份证、姓名、手机号码,把用户手机变成“肉鸡”,悄无声息盗走用户网银或第三方支付账号的资金。

日韩银行木马攻击目标紧跟热点、与时俱进的诈骗手段也日趋多样化

日韩银行木马在攻击目标上略不同于国内银行木马,其攻击目标更多集中在日韩网民网络资产所在的银行、游戏、动态令牌上。

同时,在仿冒对象选取上,日韩伪装APP较为单一,主要为快递类APP,而国内则多种多样,社工能力更强,更具有欺骗性。

三、最新病毒技术详细分析

样本基本信息
应用名: 佐川急便
包名: com.qpp.uifh
证书: 1046E01C07DFBD42943A2BDEFEA2429F
恶意行为: 1)隐藏程序图标,欺骗用户隐藏行踪; 2)拦截短信和通讯录上传至指定指定服务器; 3)接收控制指令,执行控制指令内容; 4)窃取手机中的电子账户信息。

1 获得应用锁,使系统持续保持唤醒亮屏状态

2 监听短信状态、网络状态、电量状态、解锁屏状态、电话状态、Wifi扫描状态、应用包是否增加去除和手机屏幕状态并注册监听器

3 获取存储在手机中的电子账户信息,如DNF账号、MU Origin账号、Axe账号等一系列韩国手游账号通过AccountManager. getAccounts方法获取存储在手机中的电子账户信息

4 获取手机中存储的电子邮件信息

5 过方法isIgnoringBatteryOptimizations检测软件是否在白名单中,并通过REQUEST_IGNORE_BATTERY_OPTIMIZATIONS权限直接弹出一个系统对话框让用户直接添加软件到白名单中,在白名单中的软件可以在 Doze和App Standby模式下使用网络和唤醒锁

6 日韩银行木马运行截图:

四、解决方案与安全建议

针对个人用户,我们建议:

Ø  保护个人隐私信息,不轻易向他人透露个人信息

Ø  提高对陌生电话、短信的警惕性,勿轻信其中内容

Ø  二维码依旧是主要的染毒渠道之一,切勿随意扫码

Ø  移动支付需谨慎,避免在不明网络环境下进行移动支付

Ø  通过正规安全的渠道下载官方版支付、工具、游戏等手机应用

Ø  手机网购安装使用腾讯手机管家保护网购支付安全,还支持钓鱼网址拦截,防止用户上当受骗

Ø  安装使用腾讯手机管家等安全软件对手机进行安全检测,开启病毒库的自动更新服务(务必开启云查杀功能),第一时间拦截存在安全风险的应用安装

清理方案

手机用户可下载安装如腾讯手机管家一类的手机安全软件,定期给手机进行体检和病毒查杀,并及时更新病毒库。针对最新流行肆虐危害较大并且难以清除的病毒或者漏洞,可下载专杀工具及时查杀或修复。同时开启腾讯手机管家骚扰拦截功能,可有效拦截诈骗电话、短信,提升手机安全。

同时,面向设备厂商,腾讯反诈骗实验室基于对银行木马诈骗手段的深入了解,和与银行木马诈骗黑产的持续对抗,腾讯反诈骗实验室积累了大量的诈骗网站、银行木马诈骗病毒识别能力。

依此,腾讯反诈骗实验室针对银行木马诈骗流程,提供一套完整的银行木马诈骗检测方案,层层布防,帮助厂商更好的保障用户安全:

Ø 事前拦截–URL网址检测:在浏览器打开前对URL网址链接页面内容属性检测

Ø 事后防御–下载应用检测:浏览器下载apk应用时,下载前把网址和apk信息做云查信息检测

方案优势

在病毒检测方面,为应对未来严峻的安全挑战,腾讯安全立足终端安全,推出自研AI反病毒引擎——腾讯TRP引擎,TRP引擎通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对设备上各类应用的行为进行深度学习,能有效识别恶意应用的风险行为,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。

而在网址检测方面,根据长期对黑产数据的监控和累积,腾讯反诈骗实验室每天能从互联网百亿级别的活跃网址中发现百万级别的欺诈网站,并形成活跃恶意网址库,截止目前,网址库里已有一亿条以上的各类欺诈、钓鱼网址信息。

在基于掌握这些亿级体量的黑产数据之后,腾讯反诈骗实验室形成了一套云管端的立体全景式防御体系:终端保护方面,主要针对包括QQ、微信、浏览器等腾讯的各种终端产品,会对恶意网址库里的网站做拦截,保护网民上网安全;在流量管道方面,通过和运营、公安部门合作,在运营商渠道对欺诈网站做拦截;云端,通过公有云和私有云解决方案,在接入的合作伙伴产品里对欺诈网站做风险提示。

目前接入腾讯网址安全云库的合作伙伴已达上百家,如苹果、华为、OPPO、VIVO、三星等。

附录:

日韩银行木马攻击目标应用包名:

 com.ep****f.sdsi

 com.han****android.hananbank

 com.*****banking

 com****kbbank

 com.****bsmb

 com.sc.****scbankapp

 com.****sbanking

 com****spbs

 com.****pib.smart

 nh.****art

 com.****.android.uotp2

 kr.co.****.neopleotp

 com.****.dfm

 com.web****rigin.google

 com.nc****gem

 com.nc****gem19

 com.****xe

 com.****play

 kr.co.happy****money 

日韩银行木马MD5:

a5cb6cd8****71a0b596d3f

b66dc5d****afdd7ea816fb3

289020d8****bd903a82b6c93

09d6c93****07e6c14747a2

fde79b0****e2c3744c0ad

eccf9717****65d7a73dee

30bd26****9379cf5c31e

944e9d77****9bb9d94ac7

05b0b****7199fa74e3e2

050ea20****86ded53bb

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

前言

近期,腾讯安全反诈骗实验室通过TRP-AI反病毒引擎发现了数个以应用拉活为获利手段的黑产团伙,通过恶意代码下发拉活子包擅自尝试启动或唤醒用户手机中的正常应用,执行应用“拉活”操作,目标包括了电商、新闻、视频、浏览器等类别的各大知名应用。

一、病毒解构

1.1 市场竞争滋生黑产盈利渠道

腾讯安全专家指出,DAU(DailyActive User)日活跃用户数,常用于反映网站、应用或网络游戏等的运营情况。移动互联网竞争激烈的现在,已很难从正规渠道获取到新流量,这些黑产团伙利用获得的黑产流量,通过技术手段篡改应用渠道活跃信息,将黑产流量转换成应用渠道流量,最终从中牟利。应用开发商投入的大量的渠道推广费用被黑产截流,造成巨大的损失。

流量转换示意图

流量转换示意图

1.2 黑产对抗经验丰富

该类恶意家族具有以下对抗特征:

1、 云端隐匿

匿名云端下发子包以及任务执行,防止追溯;

2、 反逆向分析

关键恶意代码多次加密转换、自动删除关键文件等手段防止被逆向分析;

3、 运行环境对抗

检测杀软、ip数据、安装列表、机型数据等信息进行对抗;

1.3 已知的拉活方式

1、 URLScheme技术,这是运用最多的方式,通过Intent机制的URI发送URL Scheme,从而启动特定应用进行拉活;

2、   直接使用startActivity函数启动特定应用的特定Activity;

3、   直接使用startService启动特定应用的特定Service;

1.4 目标知名应用

目前已经发现的拉活目标涵盖了电商、新闻、视频等类别的各大知名应用,不完全统计拉活目标应用在30个以上,目标面广泛。

1.5 三大家族

目前已知的拉活子包可以分成三大家族:cmder、QService、Sensor:

三大家族

二、影响面分析

根据腾讯反诈骗实验室安全大数据引擎的数据显示,这三个家族近一个月影响的用户量如下图所示:

用户量三个家族在总量中占比如下:

总量中占比

三、cmder家族

3.1 特点

cmder家族的影响用户较小,子包内容本身也很少,基本上,cmder家族的每一个拉活子包只对应一个目标应用,子包不具备其他恶意功能。

cmder家族的拉活子包主要使用了URL Scheme进行唤醒指定应用的操作:

唤醒指定应用的操作

部分收集到的拉活子包:

收集到的拉活子包

3.2 技术手段

捕获到的拉活子包样本均使用了URL Scheme来进行应用拉活,代码如下图所示,将URL Scheme传入Intent启动:

传入Intent启动

红框部分就是一个标准的URL Scheme。

头部的snssdk143标志着这是今日头条的scheme,这串URL Scheme通过uri信息包含在Intent中启动,一旦手机中存在今日头条应用,今日头条的Intent Filter就可以通过scheme头部的信息过滤到这个Intent,启动特定的Activity处理后面的参数,执行各种操作,拉活的目的也就达到了。

拉活的目的也就达到了

cmder家族中除了拉活之外还有一个特例:

拉活子包中有一个针对支付宝的,其URLScheme本质上并不是拉活,而是直接启动支付宝打开了黑产分子支付宝分享的“天天领红包”二维码,从而达到盈利的效果。

URL Scheme信息:

alipays://platformapi/startapp?saId=10000007&clientVersion=3.7.0.0718&qrcode=https://qr.alipay.com/c1x07288n03sjhxkdzneza2?_s=web-other

URL Scheme信息

3.3 涉及应用的渠道信息

观察可以发现这批单功能拉活子包传输的信息中包含了一些渠道信息,如前文中拉活头条的URL Scheme中,就包含click_schema_jaw09这样的类似身份识别的字段,现将这些信息整理如下:

应用 渠道信息
映客 inkewname=shuqixiaomowuliaoshiguang_201807
source_url=huoqiangshou06
西瓜视频 gd_label=click_schema_jaw51
gd_label=click_schema_hxhg18
uc浏览器 src_ch=juaiwan22
淘宝 spm=2014.ugdhh.2075675568.1204-671 spm=2014.ugdhh.2075675568.1203-671 spm=2014.ugdhh.2075675568.1201-671 spm=2014.ugdhh.2075675568.1197-671 spm=2014.ugdhh.2075675568.1193-671 spm=2014.ugdhh.2075675568.1188-671 spm=2014.ugdhh.3907731441.1162-278
搜狐新闻 channelId=13557
今日头条 gd_label=click_schema_jaw09
gd_label=click_schema_hxhg20
火山小视频 gd_label=click_schema_xdxd10
抖音短视频 gd_label=click_schema_hxhg6
支付宝 qrcode=https://qr.alipay.com/c1x07288n03sjhxkdzneza2
优酷 refer=youkushijiebei_operation.liuxiao.liux_qudao05_006000_6nEZFr_18061126

启动新浪微博的URL Scheme为sinaweibo://browser/?url=http://f.swiftcn.io/wbs/98/letu0028,后面swiftcn.io是Swift中文网的域名,完整url无法打开,也无法判断是否构成渠道信息。

启动东方头条的URL Scheme为com.songheng.eastnews://wireless:80/wakeuphome?wakeUpType=51,同样无法判断何处为渠道信息,可能wakeUpType单独指向这个拉活渠道。

3.4 拉活子包下发流程

母包从服务器获取下发应用列表:

获取下发应用列表

抓取到的应用列表中单个应用的信息如下图所示:

抓取到的应用列表

然后执行pm install安装应用以及am start启动。

执行pm install安装应用

这里下发的应用除了拉活子包之外,目前还发现了一些正常安全应用和一些恶意推广、广告弹窗的应用,具体如下:

正常应用:

sha1 包名 软件名
e250728bdc98e608cb33372ea248329c35fce56d com.sohu.newsclient 搜狐新闻
79568ba9d67cbaa9ab4539cb17ade0f395e9527e com.book2345.reader 七猫精品小说
93125824932c1299c39403cbeb2107990388df84 tv.yilan.gaoshou.aphone 高手
4970714854dfe3fca6f214741c6faee15acc6ca1 com.douban.radio 豆瓣FM
12b8b2ddaa75c7880d2fa4a5efa5f2a27f8a00a3 com.qihoo.cleandroid_cn 360清理大师
ecab8e793a6c107fb5062c056fb58cae7c3e81b1 com.qihoo.appstore  安全市场
6339a35b598a2c419e19f7bcbd33eb9eb6550454 com.qihoo.browser 360浏览器
35120a28186d66409d0881f017599532d42676b0 com.jd.jrapp 京东金融
8ea1ae3029be26f880155c774b79037fcad62e97 com.alibaba.wireless 阿里巴巴

恶意应用:

sha1 包名 软件名
f79a2f6cc4e10f86cecaadd26a843fbbdc4bc31d com.yaha.tot 搜索服务
db9ff0f965fca8b43dd41b2ca04cb4c0703a8847 com.yaha.tot 搜索服务
e1cda3881bab8708ea48032bf0edc6e1e3d604da com.menz.ernza ernza
aaf1c47e96a8eb7a2344425ecbff0e0e6b8069af com.haoo.app.tw Hoo
ea20204a47cd2285e7a6cb55267cfa663bbeda33 com.qihoo.loak 天天特价
e80c8dbacd21511d1278411d805b102738f71e74 com.mm.invoker 系统通知
36af2fb930545c20aec6dde6583c4ddd650690df cn.ban.checkin tools
7b18025925861e730a2fcc81c3455deb0183165d com.letbun.app.zh LetBun
ce76079496bc2e9f6e6e69340992df6ace5caa20 com.android.phonedevices V3DTorVieweServer
4f4d3d71c20d2c280e01646a050e636eb7db780b com.android.phonedevices phonedevices
355157c55cf99425e399eea0fdafc50e33a632fc com.android.phonedevicers V3DTourViewers
4a8ad3006031f064e04a36226179946c9eb5ad7a com.android.phonedevices V3DTourViewers
f836f5b9b0a6528b8359d0f91adff7621ce1cce9 com.android.phonedevices V3DTourViewers
f3a1535d5a24245f986db405693ada4340fbcc64 com.android.phonedevices V3DTourViewers

3.5 c&c服务器整理

整体运行流程中主要涉及以下几个域名,目前分析看来其内部api功能是一致的,主要包含了:获取子包、获取Root组件、下发应用列表等功能。

域名 API 功能
http://hc.z***.today:8082/ http://hg.hi****88.today/ http://hc.su***i.top/ http://gp.su***i.top/ http://www.goo****.software/ http://val.szch***.top:8080/ /cr/sv/getGoFile 获取start.bat子包
/cr/sv/getEPList 上传机型数据,返回对应Root包
/cr/sv/pcApks 上传用户安装应用信息
/cr/sv/getRecord 获取云端log
/spdumread/service/rtLogRecord 上传log,记录Root进度
/gpfile/pfiles/ 下发apk存储路径

四、QService家族

4.1 特点

QService家族是目前发现的影响面最广的拉活子包家族,与cmder家族相同,子包本身也仅有拉活功能,不同的是采取了从云端获取加密后的拉活任务列表,然后本地解析后执行的方式,这种方式相比于cmder频繁地开发新的拉活子包更加简便高效。

同时QService使用了最丰富的拉活方式,startActivity、startService以及URL Scheme;执行拉活的时间、间隔以及方式都在云端下发的任务中给出了详细的定义。

详细的定义

4.2 技术手段

QService家族从云端获取的数据解密后为json,部分数据截取如下:

部分数据

json中各参数的解释见下表:

startTime 任务开始时间(小时)
endTime 任务结束时间(小时)
intervalTime 执行间隔时间(分钟)
screenState 是否检查屏幕开启状态,0为不检查
type 拉活方式,0为startActivity;1为startService;2为URL Scheme
pkg 目标应用包名
link type为0时,link为指定的Activity; type为1时,link为指定的Service; type为2时,link为URL Scheme的值

执行任务的关键代码如下:

1、 根据screenState的值判断是否需要判断屏幕状态:

判断屏幕状态

2、 开始时间、结束时间、间隔时间是否满足需求的判断:

满足需求的判断

3、 记录执行时间,根据type执行任务:

根据type执行任务

type为0时为使用startActivity启动目标应用的特定Activity;type为1时为使用startService启动目标应用的特定Service;type为2时则是与cmder家族相同的URL Scheme。

4.3 涉及应用的渠道信息

同样的,QService家族使用的URL Scheme涉及的渠道信息也整理如下:

涉及的渠道信息

可以看到QService家族也利用了支付宝的天天抢红包进行盈利,此外还有一些直接启动Activity或Service的拉活任务,因此无法直接获取到渠道信息。

4.4 c&c服务器整理

 QService运行流程中访问的云端为:

http://xgaxp.jkw***m.com/p/lwdeplik.zip

http://vbxcf.xzh***j.cn/html/waeiksaz.zip

下载的文件经解密后即为下发任务。

五、Sensor家族

5.1 特点

Sensor家族虽然用户量相比于QService家族并不多,但功能比起QService来说则更加强大,他们自研开发了一种脚本语言,拉活子包则是对应的脚本解释器,执行云端下发的自研脚本,在脚本中包含了大量的拉活任务以及应用推广任务。

Sensor家族的拉活行为同样是靠URL Scheme实现,但由于是云端下发脚本,不排除更新为其他方式的可能性。

此外,Sensor家族也是目前发现的对抗最多的拉活子包,云端下发、加密不必说,脚本中还包含了ip检测、杀软检测等对抗。

目前抓取的脚本执行流程如下:

脚本执行流程

5.2 自研脚本语言

Sensor家族背后的黑产团伙自研的脚本语言实现了多达70个功能函数,同时支持了所有常用的运算符(包括逻辑运算),脚本中包含明显的控制结构。

函数表和解释如下:

Function Explain
abs(double n) 求绝对值
log(String str) 使用Android.Util.Log进行log
max(double a,double b) 求二者最大值
min(double a,double b) 求二者最小值
parseHexString(String hex) hex转String
putVar(String name,double value) 将键值对存入hashtable
delVar(String name) 删除指定键值对
clearVars() 删除所有键值对
random() 随机数
currentTimeMillis() 取系统时间
defined(String name) 检测是否存在键
increase(String tag) 指定tag计数+1,上报服务器
install(String apk) 安装指定apk
ipBelongsTo(String address…) ip所在地
ipMatched(String ip…) ip匹配(如192.168.1.*)
isDownloaded(String file…) 检测文件是否存在
isOnline() 检测网络
isScreenOn() 检测屏幕是否开启
isWifiOnline() 检测是否在Wifi环境下
macMatched(String mac…) mac地址匹配
manufacturerContains(String keywords…) 供应商字段是否包含keywords
modelContains(String keywords…) model字段是否包含keywords
packageExists(String package…) 是否安装指定应用
pathContains(String path) 当前包下是否包含路径
privAppExists() 是否存在预装应用路径
putTag(String key,double value) 将键值对存入hashtable,不同于putVar
getTag(String key) 获取指定键值
removeTag(String key) 删除指定键值对
removeAutoExecCmd(String cmd) 删除自动执行命令
removeAutoStartActivity(String package,String activity) 删除自动执行startActivity
removeAutoStartService(String package,String service) 删除自动执行startService
rooted() 检测是否root
setCommandUrl(String url) 设置c&c服务器地址
setStandbyServerUrl1(String url) 设置备用c&c服务器地址1
setStandbyServerUrl2(String url) 设置备用c&c服务器地址2
setDebugEnabled(int enabled) 设置是否开启debug
setInterval(long interval) 设置执行间隔
setLogEnabled(int enabled) 设置是否开启log
signatureEquals(String signature) 判断签名
startActivity(String package,String activity) 运行指定Activity
startService(String package,String service) 运行指定Service
stop(String package) 停止指定应用
submit(String event,String extra) 上报设备信息以及指定extra
suexec(String cmd…) 命令行执行命令
uidMatched(String uid…) 匹配指定uid
uninstall(String package) 删除指定应用
unzip(String file) 解压指定文件
waitForNetwork() 等待联网
autoExecCmd(String cmd,String increaseTag,int type,int startHour,int endHour) 设置自动执行命令
autoStartActivity(String package,String activity,String increaseTag,int type,int startHour,int endHour) 设置自动执行startActivity
autoStartService(String package,String service,String increaseTag,int type,int startHour,int endHour) 设置自动执行startService
boardContains(String keywords…) board字段是否包含keywords
copy(String file,String newPath) 复制指定文件到指定路径
count(String tag) 对指定tag的计数
delete(String name) 删除指定文件
deviceContains(String keywords…) device字段是否包含keywords
download(String url,String name,int wifiOnly) 下载文件并储存
fileExists(String path…) 文件是否存在
getApiLevel() 获取ApiLevel
getWeeks(String date) 获取星期
getDays(String date) 获取天数
getHours() 获取当前小时
getFirstInstallTime() 获取第一次安装时间
getProviderCode() 获取运营商代码
getRealTime() 获取当前时间
getVersion() 获取当前版本
iccidMatched(String iccid…) iccid匹配
imeiMatched(String imei…) imei匹配
imsiMatched(String imsi…) imsi匹配
inKeyguardRestrictedInputMode() 判断是否锁屏

这些函数中有明显可以用来对抗的函数,如ipMatched、stop、packageExists等,事实上下发的脚本也是这样做的:在执行拉活操作之前,脚本会先判断是否存在杀软,如果存在则关闭杀软;同时通过ipMatched函数禁止掉了腾讯云等ip地址。

被ban的ip如下:

180.153.228.*,183.232.175.*,183.3.234.*,183.60.163.*,183.61.51.*

被ban的ip

在检测到这些ip之后,脚本将log信息“forbidden”,记录forbidden字段为TRUE,然后通过submit函数上传了forbidden:cloud antivirus信息,然后结束运行。

5.3 任务执行流程

在执行具体任务之前,脚本首先判断了执行条件:

判断了执行条件

先判断是否为新一天以及母包应用是否安装,是的话就会重置pushCount为1000000,初始化计数用的变量;然后如果是测试模式或者未达到指定的pushCount,则开始执行任务。

接下来脚本判断了是否安装主流杀软,有则关闭。

是否安装主流杀软

当以上运行环境检测完毕之后,使用increase函数将计数用的变量加1,代表进行了一次拉活,同时increase函数内置的逻辑将记录上传至服务器。

将记录上传至服务器

最后使用URL Scheme执行拉活任务。

使用URL Scheme执行拉活任务

5.4 涉及应用的渠道信息

Sensor子包中的渠道信息整理如下:

应用 渠道信息
今日头条 gd_label=click_schema_aguya15
抖音短视频 gd_label=click_schema_jaw55
今日头条极速版 gd_label=click_schema_aguya29
西瓜视频 gd_label=click_schema_aguya25
火山小视频 gd_label=click_schema_aguya39
淘宝 spm=2014.ugdhh.3915747229.1194-189
优酷 refer=home1808_operation.anne.hxl_qudao85_005000_jQRvyq_18080201

脚本中除了执行拉活任务之外,还有一些下载安装推广其他应用的任务,这部分的信息整理如下:

应用 下载url
360手机助手 http://openbox.mobilem.360.cn/channel/getUrl?src=8967878&app=zs
360清理大师 http://msoftdl.360.cn/mobilesafe/shouji360/cleandroid/812604/360clear.apk
WIFI连接器 http://msoftdl.360.cn/mobilesafe/shouji360/360safe/7003498/WifiConnection.apk
双开小助手 http://msoftdl.360.cn/mobilesafe/shouji360/360safe/123182/Magic.apk
手机助手 http://download.2345.cn/2345yidong/sc-chuangxin6_as_www.apk
豌豆荚 http://down2.uc.cn/wandj/down.php?id=211&pub=fangbei11_hl
搜狗手机助手 http://download.zhushou.sogou.com/appmall/channel/201808/dffe7eb01372587f6f1514fe6aa0c4a3_A11093007_7.0.4.apk?fmark=tg_A11093007
火山小视频 http://s.huoshanzhibo.com/oQXgp/
西瓜视频 http://s.ixigua.com/o3Buh/
今日头条极速版 http://s.toutiao.com/oofpS/

六、总结

拉活子包不可能凭空出现,为防范成为黑产控制下的刷量拉活工具,安卓手机用户需要提高安全意识,养成良好的使用习惯,我们建议:

1. 通过正规应用市场或官方下载应用;

2. 不要轻易打开不明链接,谨慎对待来源不明的安装包、文件;

3. 养成良好的生活习惯,不下载安装“色情类”的应用;

4. 使用腾讯手机管家等手机安全软件进行实时防护。

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

 

前言

Google设计Android进程的设计是非常友好的,进程在不可见或者其他一些场景下APP要懂得主动释放,维护Android系统安全,然而低估恶意开发者“贪婪”,利用进程保护机制滋生很多流氓应用,破坏系统文件,资费受损,隐私泄露,推送恶意广告,导致设备资源浪费,破坏系统生态平衡。

安卓系统越难获取Root的背景下,无需Root进程保护成黑产攻击目标,恶意开发人寻找其他方式攻击,利用双进程保护,新增系统接口等。

恶意利用保活功能的风险软件前三,流氓广告,恶意扣费和风险软件,分别占比66%,18%和16%                 

基于用户需求及采用社会工程学原理进行攻击,攻击方式可分为,应用层,系统开放接口,二进制

应用进程保护滥用主要场景如下:

(1)  寻找设备漏洞获取Root,释放恶意进程保护文件。

(2)  利用双管道互相监听,保证双向监听进程是否存活。

(3)  调用系统新增接口

第一章 Android进程保活介绍

1.1 Android进程保活

Android进程常驻,顾名思义,就是要让应用的进程在内存中长期存在,在内存紧张的情况下,

会将一些进程kill ,释放一部分内存,希望能及时收到消息的APP,需要保持进程持续活跃,那么

就需要实施一些保活措施来保证进程能够持续存活,即 Android进程保活。

1.2 应用保活常用技术

Android进程保护研究分析报告

1.3进程保活方案介绍 

1.3.1应用层

所谓的常规实用方案就是通过本身机制进行保活,应用层api接口,控制Service组件onStartCommand函数返回值。

Android进程保护研究分析报告通过Service生命周期接口中,前台服务或重启,在所有能触发onCreate,onDestory的情况下都有效

Android进程保护研究分析报告image007.png

控制触发条件(蓝牙状态,网络变化,WiFi状态,屏幕亮灭,锁屏解屏,应用安装与卸载)

Android进程保护研究分析报告

1.3.2 系统框架

通过构造Intent方式拉起恶意服务,这里贴一段某sdk推送的接受代码,自定义消息中重启Service服务。

Android进程保护研究分析报告

植入恶意sdk插件方式,xx.sdk中应用在恶意应用植入成功后,恶意代码包通过start Service的方式拉起恶意应用的服务,长期隐藏在用户手机中。

Android进程保护研究分析报告

系统开放API 接口,JobScheduler机制唤醒,(系统给5.x以上)接口,系统根据实现定时调用接口传递的进程去实现保活操作,若强制停止后依然可以正常的启动。

Android进程保护研究分析报告

1.3.3本地二进制文件

这里列举经常在病毒中使用的Daemon二进制文件,保活方案(系统5.0以下)

原理:fork出子进程之后,让子进程成为新的孵化进程,并与其父进的会话组和进程组脱离,紧接着就是在子进程中定时去启动java层配置任务,自定义服务处于保活状态,长期在后台运行。

执行流程图如下:

Android进程保护研究分析报告

部分代码片段,二进制文件执行命令行,am startService–user,应用层java配置任务

Android进程保护研究分析报告

1.4 进程保护技术运用

Android进程保护研究分析报告

第二章 进程保护病毒占比与案例

恶意利用进程保活分类占比

病毒利用保活技术前三,占比最高流氓广告66%,其次,恶意扣费和风险软件分别占比18%和16%。

Android进程保护研究分析报告

进程保活家族七大家族占比

1)满足触发条件(网络切换,连接USB)等方式前置进程,Movers,DisguisedAd,Bombard病毒家族占比最高分别占比30%,27%和16%。

2)植入二进制文件保活方式,植入SH/ELF保活文件到系统目录方式守护恶意病毒进程,如叉叉SDK, Mobo病毒家族分别占比12%和1%。

3)系统新增接口和双进程保护方式,RottenSys,Romdown病毒家族分别占比11%和3%。

Android进程保护研究分析报告

2.1 BanK提款机病毒

当宿主程序首次在运行时,通过解锁屏幕触发母包广播事件,从而加载子包并启动代理广播事件

随后在子包中开启母包恶意服务,并触发子包的代理并执行推广下行为。诱骗用户安装病毒。

技术点分析:

满足触发条件(定时器,联网改变,屏幕解锁,apk安装和卸载)触发广告服务。

Android进程保护研究分析报告

恶意扣费短信记录

Android进程保护研究分析报告

2.2 MoBo病毒

病毒通过仿冒网速监控器,手机清理工具、和播放器等应用进行传播,一旦用户手机不慎被感染,该病毒将立即下载提权文件来获取root权限,频繁推送广告通知激活恶意服务,监控短信,私发大量短信,注入大量恶意文件到手机系统用于守护病毒,私自下其他他软件

技术点分析:

ELF文件/system/xbin/.pr.io注入恶意文件至手机系统中

Android进程保护研究分析报告用于唤醒病毒主模块进程,并私自下载安装其他软件

Android进程保护研究分析报告

2.3 RottenSys 病毒

此病毒软件恶意操作,保活推送子包并加载,获取root并执行插件,私自下载恶意广告插件,推送广告,并动态加载本地子包获取root权限,执行ELF脚本,伪装插件与服务器交互,长期驻内存保活并执行恶意操作。

技术点分析:

执行开源框架MarsDaemon来对自身服务进行长期保活

Android进程保护研究分析报告

窃取用户信息

Android进程保护研究分析报告

2.4 Magiclamp病毒

该通常将自己伪装成一些破解游戏和工具类软件通过主流的应用市场和部分软件下载站进行传播,用户一旦中招以后将通过云端下发子包保活,强迫用户安装应用,云端下发配置,通过配置参数发送服务器,下载保活子包,执行恶意操作。

技术点分析:

云端下载恶意子包服务

Android进程保护研究分析报告

弹出广告弹框并诱导用户安装,弹出广告骚扰用户

Android进程保护研究分析报告

2.5 DisguisedAd病毒

恶意程序名Security Defender,SecurityKeeper,Smart Security,Advanced Boost等名称      安全工具,扫描,清理垃圾节省电池,冷却CPU,解锁设备屏幕启动恶意服务,消息推送,WiFi存在     安全风险,存在风险提示。

技术点分析:

隐藏在应用列表名称

Android进程保护研究分析报告

恶意程序隐藏功能设计不在指定机型运行

Android进程保护研究分析报告

使用过程中弹窗”Your apps apps may be snooped”之类的虚假通知,提示某种操作。    

Android进程保护研究分析报告

2.6叉叉SKD病毒

SDK“后门”,云端动态更新下发恶意代码包,Root用户手机,植入恶意脚步文件/ELF文件到系统目录长期隐藏在设备中,拉起恶意服务推送广告行为和应用。

执行脚本,其作用是将恶意应用copy到系统ROM内。

技术点分析:

一阶段,执行恶意脚本文价,其作用是将恶意应用copy到系统Rom隐藏设备中

Android进程保护研究分析报告

二阶段,在恶意应用植入成功后,恶意代码包通过startService的方式拉起恶意服务执行操作。

Android进程保护研究分析报告

2.7 Romdown 病毒

利用高版本系统(5.0以上)开放接口(jobscheduler)唤醒机制及插件化隐秘执行技术,其伪造成正常内存清理软件,运行后隐藏图标,隐藏后台工作,下载执行恶意插件,执行上传用户信息,对设备信息造成极大安全威胁。

技术点分析:

通过接受广播(蓝牙状态,网络切换,WiFi状态)等启动服务

Android进程保护研究分析报告

系统5.0以上,使用jobSchedule新增系统接口,实现进程拉活

Android进程保护研究分析报告

第三章 黑产利用趋势与厂商防御

Android进程保护研究分析报告

第四章 安全建议及规范

恶意软件威胁隐私和财产安全带来的极大安全挑战,对手机用户隐私,财产等骚扰造成严重,如何有效的防范恶意软件的危害显得尤为重要,为应对未来严峻的安全挑战,腾讯安全已推出自研AI反病毒引擎腾讯TRP引擎通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对应用行为的深度学习,能有效识别带有恶意风险行为软件,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。

Android进程保护研究分析报告针对恶意软件开发者,腾讯反诈骗实验室基于海量的样本APK数据、URL数据和手机号码黑库建立了神羊情报系统,可以根据恶意软件的恶意行为、传播URL和样本信息进行聚类分析,溯源追踪恶意软件背后的开发者,给于精确打击,保护广大用户免受恶意软件危害。为尽可能避免恶意软件的危害,我们也给用户提出了以下几条防护建议:

(1)应该选用安全正规的App产品和服务,并选择正规应用商店下载安装。

(2)在选择应用下载推荐时,尽量选择大型可信网站,请勿点击来历不明的链接下载软件。

(3)养成良好使用习惯,不随意输入个人隐私信息,定期对设备系统进行安全检测和更新。

(4)当手机使用中异常发热和运行卡顿时,应及时使用腾讯手机管家进行扫描检测。

*本文作者:腾讯手机管家,转载请注明来自 FreeBuf.COM

前言

近日,某企业管理人员何某接到一个保险公司电话,对方告知何某他在保险公司报了理赔需要提供理赔资料,并且能准确报出何某的银行卡号。在何某声明自己未购买这个保险后,对方直接将何某的电话转接到了所谓“武汉公安局”的“警官”接听。

“警官”称何某涉嫌“洗黑钱”,要求其配合调查并问询了何某帐号及帐号金额情况。随后,“警官”建议何某找“检察院张主任”,并提供联系方式及微信,“检察院张主任”给何某发了一个“网页链接”,点开是“最高人民检察院”页面,输入所谓的“案件编号”后,出现了何某的“通缉令”,何某吓住了,只好配合办案。随后对方要求其下载“经济犯罪侦查局软件”做“金融建档”,实际上是木马病毒,用于实时窃取何某银行账号信息以及盗转资金。当天下午,按对方要求无论收到任何信息都不能打开、不能查网银,否则会影响“金融局”操作数据,实际上这是骗子在盗转资金。之后,“蒋检察长”及“金融局严科长”等诈骗份子通过各种威吓手段骗取何某前后共1115万元。

image001.jpg

受害者设备无法对网站以及APP下载,安装进行有效安全检测与提示

根据腾讯安全反诈骗实验室安全大数据显示,2018年以来仿冒公检法类恶意应用增长70%,相关钓鱼网站同比增加200%。仿冒公检法作恶团伙正在不断升级其作案手段,通过传统单点防御的方式将很难阻断诈骗黑产的针对性攻击,安全厂商以及手机厂商可以从仿冒公检法病毒的传播,落地,作恶的各个环节深度合作,层层设防,最大程度阻断电信诈骗。

一、仿冒公检法诈骗高速增长,受害群体呈现上升趋势

2018年Q2,Q3季度仿冒公检法病毒数量呈现上升趋势,Q2季度病毒数量增长70%

image002.png

2018年仿冒公检法病毒中毒用户呈先上升趋势,Q1、Q2季度中毒用户增长50%

image003.png

2018年 仿冒公检法网站访问量增加200%,受害人数量明显增长。

image004.jpg

二、仿冒公检法诈骗,低端手机更易中招,诈骗网站纷纷出海

仿冒公检法病毒影响的手机,偏重低端手机;受感染手机价格1000元以下占比34.44%,1000~2000元占比44.63% 。

image005.png

仿冒公检法的受害人区域分布TOP3:广东、江苏、福建。

image006.png

诈骗网站的服务器大都部署在境外,美国占比最高71% 。

image007.png

三、仿冒公检法诈骗病毒技术变迁趋势

随着移动互联网的高速发展,用户使用智能终端的时长、场景也越来越长且丰富,大部分黑产从业者为应对安全软件所做一些技术对抗企图逃避检测。

image008.png

四、仿冒公检法诈骗病毒检测方案

基于对仿冒公检法诈骗手段的深入了解,和与公检法诈骗黑产的持续对抗,腾讯反诈骗实验室积累了大量的诈骗网站、公检法诈骗病毒识别能力。

依此,腾讯反诈骗实验室针对仿冒公检法诈骗流程,提供一套完整的仿冒公检法诈骗检测方案,层层布防,帮助厂商更好的保障用户安全:

事前阻断–电话号码检测:基于海量手机号码黑库数据发现恶意通话劝阻受骗用户

事中拦截–URL网址检测:在浏览器打开前对URL网址链接页面内容属性检测

事后防御–下载应用检测:浏览器下载apk应用时,下载前把网址和apk信息做云查信息检测

image009.png

方案优势

在病毒检测方面,为应对未来严峻的安全挑战,腾讯安全立足终端安全,推出自研AI反病毒引擎——腾讯TRP引擎,TRP引擎通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对设备上各类应用的行为进行深度学习,能有效识别恶意应用的风险行为,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。

image010.png

而在网址检测方面,根据长期对黑产数据的监控和累积,腾讯反诈骗实验室每天能从互联网百亿级别的活跃网址中发现百万级别的欺诈网站,并形成活跃恶意网址库,截止目前,网址库里已有一亿条以上的各类欺诈、钓鱼网址信息。

在基于掌握这些亿级体量的黑产数据之后,腾讯反诈骗实验室形成了一套云管端的立体全景式防御体系:终端保护方面,主要针对包括QQ、微信、浏览器等腾讯的各种终端产品,会对恶意网址库里的网站做拦截,保护网民上网安全;在流量管道方面,通过和运营、公安部门合作,在运营商渠道对欺诈网站做拦截;云端,通过公有云和私有云解决方案,在接入的合作伙伴产品里对欺诈网站做风险提示。

目前接入腾讯网址安全云库的合作伙伴已达上百家,如苹果、华为、OPPO、VIVO、三星等。

五、安全建议

保护个人隐私信息,不轻易向他人透露个人信息

提高对陌生电话、短信的警惕性,勿轻信其中内容

二维码依旧是主要的染毒渠道之一,切勿随意扫码

安装使用腾讯手机管家等安全软件对手机进行安全检测,开启病毒库的自动更新服务(务必开启云查杀功能),第一时间拦截存在安全风险的应用安装

清理方案

手机用户可下载安装如腾讯手机管家一类的手机安全软件,定期给手机进行体检和病毒查杀,并及时更新病毒库。针对最新流行肆虐危害较大并且难以清除的病毒或者漏洞,可下载专杀工具及时查杀或修复。同时开启腾讯手机管家骚扰拦截功能,可有效拦截诈骗电话、短信,提升手机安全。 

image011.jpg

附录

仿冒公检法诈骗病毒样本Sha1:

e8734a5253****f856ab9517208

dfe07fa49f****cb841dd48daf7

db3968814f****b738c3f7c800f

da19e42708****a0511f4d70ca6

a0331964c3****3468cea16881d

27805d5e02****beb3e528546dc

15f8bd6c3c****faa3a10f6c38a

146aed84ab****0e971534e5754

0ae5d6a512****13c10534c41e6

3d9df99f8c****a4c9c27457163

仿冒公检法诈骗网址:

http://206.***34/0405361  

http://172.80.79.151 

http://104.221***/cgi-bin/Case_management/?action=2 

http://172.***94/login/ 

http://172.80.***/login/ 

http://45***.99/spp/ 

http://45.117.***/cgi-bin/spp/case_manager_mobile/?pageaction=0 

http://104.224.***/ajgl-index.asp 

http://45.63.***/index.php/w/home 

http://172.***119/cgi-bin/spp/jgsz/index.asp

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

一、概述

近期,腾讯反诈骗实验室自研的TRP-AI反病毒引擎捕获到一批大肆传播的Android后门木马病毒样本,此木马在用户设备上存在私自获取设备信息、后台频繁安装应用、后台发送短信等可疑行为。目前,腾讯手机管家客户端已全面查杀FakeSystem病毒家族,已深度集成腾讯TRP-AI引擎的魅族手机用户可以完美防御该家族病毒的入侵。

经过安全专家的分析,这批病毒样本属于“Fake System”木马家族的新变种,此木马家族的样本基本上都是以“Power”、“UI组件”、“SystemBase”、“进程管理”和“系统工具”等明显仿冒系统应用的软件名进行命名,最早的样本出现在2016年8月。“Fake System”木马病毒潜伏周期很长,使用了多种先进的“逃逸”技术来对抗杀软,并集成了三大主要的黑产变现手段以牟取灰色收益。

三大技术对抗技术:

1)静态检测技术逃逸:类名、方法名混淆成特殊符号,字符串隐藏未加密数组,每个类自动化生成不同的加密算法。

2)动态沙箱检测逃逸:18种设备状态监控,包括模拟器文件,xposed框架,ADB、Debugger和Usb连接状态等,全面识别非用户运行环境。

3)第三代云逃逸:将恶意功能剥离成payload文件并存储在云服务器,通过云端下发payload文件,在用户设备执行恶意功能代码.传统厂商很难捕获恶意代码进行检测。

三大黑产变现手段:

1)恶意推广应用:从云端获取应用推广任务,对不同用户推广ROM内和ROM外应用。

2)恶意扣费短信:从云端获取扣费短信任务,操控中毒设备发送扣费短信。

3)广告作弊刷量:多广告平台,多种类型广告支持刷量,模拟广告的拉取,点击,下载,安装等数据上报。

二、木马影响面

根据腾讯反诈骗实验室大数据引擎数据显示,近一个月时间里,“Fake System”木马新变种的感染用户增长迅猛,在过去一个月的时间里,几个新变种的感染用户都迅速增长到20万左右,与此同时总体“Fake System”木马的感染用户也大幅增长,影响近百万用户。

1.png

木马感染用户系统版本分布

2.png

腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎基于应用的行为进行深度学习,能有效探测应用的可疑操作,很好的应对上述木马采用的逃逸技术,目前已全面支持查杀该木马家族。

3.png

三、木马应用详细分析

“Fake System”木马的主要传播途径有:通过色情和游戏应用进行传播;通过木马老样本的进行传播;地下刷机渠道等方式。

我们以新捕获的样本“UI”组件,对“FakeSystem”木马的作恶行为进行详细分析。

3.1 样本基本信息

应用名:UI组件

包名:dozx.wkkv.szzd.njag

证书:8c2b3fbd6fe808f0b67801ecf64f1c02

4.png

恶意行为流程图:

5.png

主要访问URL:

  设备注册 http://106.**.**.81/ad/api/sdklog.php http://123.**.**.38/main/api/sdklog.php http://106.**.**.110/main/api/update.php
JAR包更新 http://106.**.**.83/ad/api/update.php http://123.**.**.196/main/api/update.php http://106.**.**.110/main/api/update.php
任务获取 http://106.**.**.105/main/api/data.php
运行事件上报 http://106.**.**.26/main/eventlog/adlog.php
GDT刷量插件更新 http://123.**.**.196/gt/content/upd.php

3.2 样本编码特征

恶意应用从早期的样本开始就采用了很强的代码混淆技术。

1、将核心代码的类名、方法名混淆成各种特殊符号。

7.png

2、针对每个类,自动化生成不同的字符串替换加密算法,对所有的字符串信息进行加密处理,加大了病毒样本分析的难度。

8.png

3.3 恶意木马功能分析

3.3.1 木马应用主框架

木马应用启动后,主要完成以下几个动作:

1、监控设备环境;

2、连接CC服务器,注册设备;

3、设置触发器任务,并设置重复定时任务,间隔一定时间拉起触发器任务。

9.png

1)监控设备环境

应用Monitor.start()方法中对18种设备状态进行监控,包括对一些虚拟机文件,xposed框架,ADB、Debugger和Usb连接状态等信息进行监控,主要用于识别木马应用的运行环境,避免在蜜罐和试验环境中触发恶意行为。

10.png

2)设备注册

应用的MainAction.register()方法中会连接CC服务器,请求注册设备,将设备的基本信息如imei、imsi、brand、mac、系统版本、内核版本等信息,以及监控到的设备环境信息post到服务器,服务器则返回对应的注册结果。

11.png

12.png

post请求参数:

13.png

注册请求返回结果,可以看到返回的结果主要有注册设备的ID、注册时间,kickoff、api版本、uidpush时间等,这些参数会用到后续的与服务器链接的其他请求中。

14.png

从返回数据中可以看到,测试设备获取的uid为32357573,每台设备注册后会被分配一个唯一的uid,排除一些无效的设备注册请求情况,可以推断出此后门木马曾感染的设备也达到了很大的量级。

3)触发器任务

应用会设置触发器,通过设置定时任务来拉起。触发器任务会去动态加载执行Jar包,若应用运行达到一定时间,则会链接服务器,请求更新jar包。

15.png

更新请求post的参数与注册请求类似,多了uid、reg、uidpush等参数。若服务器校验成功,则下发更新后的Jar包。

16.png

17.png

解析更新请求返回内容,校验并存储Jar包到应用files目录。

18.png

JarLoader动态加载执行Jar包,Jar包的入口类为com.a.l.g.a,入口函数为b。

19.png

21.png

3.3.2 Jar包Analys.jar

analys.jar的主要功能有:

1、Root用户设备;

2、链接CC服务器,获取任务列表,包括应用推广任务和短信扣费任务;

3、上报运行信息;

4、动态加载其他恶意子包。

a)Root用户设备

jar包运行后会检测自己是否已经被安装在设备rom内,若没有安装在设备rom内,则会去尝试root用户设备。

22.png

根据设备信息,选择不同的exp进行root:

23.png

主要使用到的相关exp列表:

24.png

b)获取任务

应用连接服务器,请求任务:

25.png

任务请求url:

26.png

解析返回数据,获取任务信息,任务信息主要包括设置下线时间、是否自毁、替换系统debuggerd、Rom内APK下载安装任务和普通APK下载安装任务。

27.png

InstallTask任务包括APK的下载链接、包名、launch入口、是否安装到Rom内等信息。

28.png

普通APK的下载成功后使用pminstall命令安装,而ROM内APK下载成功后,使用cat命令将应用拷贝到设备的系统目录。

普通应用安装:

29.png

ROM内应用安装:

30.png

应用拉起:

31.png

根据腾讯大数据关联分析,“Fake System”木马恶意推广的应用数量庞大,其中ROM应用主要是木马的其他病毒样本,通常“Fake System”木马会在感染用户设备上安装多个不同的病毒样本,确保对感染设备的控制;而木马在普通类APK的推广上范围十分广泛,涉及多种类型的应用。木马私自下载安装的应用主要有:

32.png

同时,应用也会获取扣费短信任务,并根据设备的情况选择不同的短信发送方式来发送扣费短信。

33.png

短信发送方式

1、普通发送:

34.png

2、反射发送:

35.png

3、注入发送:

36.png

通过注入so的方式对系统的短信管理器com.android.mms进行注入,绕过安全限定进行发送短信。

37.png

c)上报运行信息

运行一段时间后,应用会将相关的运行信息上报给服务器。

RootEvent信息列表,主要事件有Root相关、短信扣费相关、应用推广相关事件的执行情况。

38.png

获取事件list并使用post请求上报:

39.png

上报Url:

40.png

d)动态加载广告刷量插件

应用会动态加载和更新广告刷量插件,针对多家广告平台进行广告刷量作弊行为。

41.png

动态加载调用广告刷量插件,插件的入口类为e.g.g.e.Bridge,入口函数为dispatch。

42.png

43.png

3.3.3 广告刷量插件

广告刷量插件修改多家广告平台的SDK,伪造广告请求,进行恶意的广告刷量行为。

a)破解协议,伪造广告请求

针对广告平台A,修改广告SDK,伪造请求进行插屏广告和banner广告刷量。

插屏广告:

44.png

45.png

Banner广告:

46.png

47.png

b)后台广告自动点击

针对广告平台B刷量:

48.png

49.png

针对广告平台C刷量:

50.png

四、总结和防护建议

“Fake System”木马应用仿冒系统应用的软件名,且没有图标、恶意行为对普通用户来说感知较弱,具有很强的隐蔽性。此木马功能强大,用户设备一旦感染,即会成为黑产分子控制的“肉鸡”,沦为黑产分子进行应用推广、短信扣费、广告刷量的工具。

针对普通用户如何避免受此木马的侵害,我们对给出了如下防护建议:

1、不要安装非可信渠道的应用、不要随意点击不明URL链接和扫描安全性未知的二维码信息;

2、及时对设备进行安全更新;

3、安装腾讯手机管家等安全软件,实时进行保护;

4、若发现手机感染木马病毒,请及时使用安全软件进行清理,避免重复交叉感染。

另一方面,如今黑产分子利用手中控制的“肉鸡”进行恶意广告刷量等活动日益猖獗,对各大广告平台和广告主带来了很大的负面影响和经济损失。腾讯反诈骗实验室一直致力于打击黑产,对抗诈骗/欺诈,并在黑产对抗、恶意代码识别、黑产团伙打击方面有很深厚的技术、数据积累。针对恶意应用的广告刷量行为,腾讯反诈骗实验室结合自身终端感知能力、覆盖能力以及对黑产设备、从业者信息积累等优势,向广告平台、广告主提供【移动互联网流量反欺诈解决方案】。广告平台、广告主可通过腾讯广告反欺诈服务对当前营销、推广整体状况进行有效评估,可准确、有效评估各渠道流量质量, 对欺诈流量进行精准打击,防止不必要的推广成本付出。

*本文作者腾讯手机管家,转载请注明来自FreeBuf.COM

序言

病毒木马的演变史,就是一部互联网黑产演变史。病毒木马从最初的以炫技为目的,逐步过渡到与利益相关:哪里有流量,哪里能够获利,哪里便会有黑产聚集。

2018年,伴随移动应用的影响力超过电脑应用,主要互联网黑产也迁移到手机平台。腾讯安全反诈骗实验室观测数据表明,以持续多年的暗扣费黑产、恶意移动广告黑产、手机应用分发黑产、App推广刷量黑产为典型,这些移动端的互联网黑产,给用户和软件开发者带来了巨大的经济损失。

同时,2018年是区块链大年,几乎所有的新兴产业,都绕不开区块链这个关键词。与之相应,2017年下半年至今,互联网病毒木马的主流也都围绕区块链、比特币、以太坊、门罗币而来。由于比特币具备交易不便于警方追查的特性,全球范围内的黑市交易,大多选择比特币充当交易货币。由比特币等数字货币引发的网络犯罪活动继续流行,挖矿木马成为了2018年影响面最广的恶意程序。对于挖矿而言,除了大规模投入资本购买矿机自建矿场,黑产的作法是控制尽可能多的肉鸡电脑组建僵尸网络进行挖矿。而僵尸网络除了可以挖矿牟利,控制肉鸡电脑执行DDoS攻击也是历史悠久的黑产赢利模式之一。

为此,腾讯安全联合实验室整理了2018年上半年互联网黑产攻击数据和发展现状,分别从移动端和PC端两个方面详细解读黑色产业链的具体特征、攻防技术和发展态势,为大家揭开互联网黑产的面纱。

一、移动端黑产规模宏大,恶意推广日均影响用户超千万

2018年上半年,手机病毒类型多达几十种,大部分病毒都属于资费消耗、恶意扣费和隐私获取这三种类型,占比分别为32.26%、28.29%和20.40%。此外,手机病毒的功能日益复杂化,一款病毒往往兼具多种特性和恶意行为。4月初腾讯TRP-AI反病毒引擎曾捕获一款名为“银行节日提款机”的恶意木马,伪装成正常的支付插件,在用户不知情的情况下,私自发送订购短信,同时上传用户手机固件信息和隐私,给用户造成资费损耗和隐私泄露。

1.四大主流黑产链条

1.1 暗扣话费黑产:日掠夺千万的“抢钱”产业链

暗扣话费是非常古老的互联网黑产。大部分用户会预充值一些话费用于支付套餐的消耗,平时也很少再关注话费,实际上,这些预存的话费余额还可以用来订阅各种增值服务。移动黑产正是利用这一点,串通利益共同体一起窃取用户话费余额并牟取暴利。

据腾讯安全反诈骗实验室数据显示,每天互联网上约新增2750个左右的新病毒变种,伪装成各种打色情擦边球的游戏、聊天交友等应用诱导用户下载安装。此类手机恶意应用每天影响数百万用户,按人均消耗几十元话费估算,日掠夺话费金额数千万,可谓掘金机器。受暗扣话费影响的最多的省份有广东、河南、江苏等地。

腾讯安全反诈骗实验室研究发现,此类黑产以稀缺的SP提供商为上游,SDK根据掌握的不同SP资源开发相应的SDK,并将这些SDK植入到伪装成色情、游戏、交友等容易吸引网民的应用中。实现暗扣话费变现后,利润通过分成的方式被整个产业链瓜分。此类黑产核心的扣费SDK开发团队大概有20家左右,主要分布在北京、深圳、杭州等地。

据腾讯安全反诈骗实验室观测,暗扣话费的手机恶意软件的影响近期又呈增长之势。

1.2 广告流量变现:九大家族控制数百万广告流量牟取暴利

当前中国网民对手机应用中广告的态度整体较为宽容,国内消费者为应用付费的习惯尚待养成,正规的软件开发者同样需要通过广告流量来获利收益。然而,某些内置于各类应用中的恶意广告联盟,主要通过恶意推送广告进行流量变现的形式来牟利,平均每天新增广告病毒变种257个,影响大约676万的巨大用户群。这些恶意广告联盟推送的广告,内容更加无底线,在某些时候突然推送出色情擦边球应用、博彩甚至手机病毒也不足为奇。

腾讯安全反诈骗实验室的监测数据表明,越是经济发达的地区,恶意广告流量变现的情况也越发严重。珠三角、长三角、京津冀遭受恶意广告流量的影响远大于全国其他区域。

1.3 手机应用分发黑产:沉默但不简单的地下软件分发渠道

在应用市场竞争日益激烈的情况下,软件推广的成本也在升高。一些初创公司较难在软件推广上投入大量成本,部分厂商便找到了相对便宜的软件推广渠道:通过手机应用分发黑产,采用类似病毒的手法在用户手机上安装软件。据腾讯安全反诈骗实验室监测数据显示,软件恶意推广地下暗流整体规模在千万级上下,主要影响中低端手机用户。例如部分用户使用的手机系统并非官方版本,经常会发现手机里莫名其妙冒出来一些应用,这就是地下软件黑产的杰作。

通过手机恶意软件后台下载推广应用,是手机黑产的重要变现途径。腾讯安全反诈骗实验室的研究数据表明,手机恶意推广的病毒变种每天新增超过2200个,每天受影响的网民超过1000万。

1.4 App刷量产业链:作弊手段骗取开发者推广费

为了将自己开发的手机应用安装在用户手机上,软件开发者会寻找推广渠道并为此付费。一部分掌握网络流量的人,又动起歪脑筋:利用种种作弊手段去虚报推广业绩,欺骗软件开发者。根据腾讯安全反诈骗实验室对App刷量产业链的研究,该产业链主要有三个阶段:

第一阶段:机刷时代(模拟刷、群控)

前期通过模拟器模拟出大量手机设备伪装真实用户,随着对抗后期则主要通过购买部分真实手机设备通过群控系统来实现。模拟器易被检测,群控规模有限,加上开发商对抗技术的升级,该模式逐渐没落,刷量产业和开发者也处于长器的博弈之中。

第二阶段:众筹肉刷

常常以手机做任务就可以轻松赚钱为噱头吸引用户入驻平台,用户可以通过APP提供的各种任务来获取报酬,比如安装某个应用玩十分钟可以获取一块钱。然而这些平台由于失信太多,骗用户做任务又不愿意付费,导致愿意参与此类游戏的网友数量越来越少,模式已逐渐消亡。

第三阶段:木马技术自动刷量

人工刷量需要大量的真实用户帐号,或者较多的设备,还得人肉操作,导致效率较低。2018年有一批聪明的开发商已经开始布局木马自动刷量平台。木马SDK通过合作的方式植入到一些用户刚需应用中进行传播,然后通过云端控制系统下发任务到用户设备中自动执行刷量操作。

2.三大新兴攻击手段

2.1 黑产利用加固技术进程在加速

加固技术开发的本来目的是用于保护应用核心源代码不被窃取,随着病毒对抗的不断提升,越来越多的病毒应用开始采用加固来保护自己的恶意代码不被安全软件发现。

目前国内外有很多成熟的加固方案解决厂商,这些厂商存在很多先进的加固技术和较完善的兼容性解决方案,但是这些方案解决商的这些优点正成为黑产很好的保护伞。根据腾讯安全反诈骗实验室的数据显示,进入2018年以后利用这些知名加固解决方案的病毒应用正在快速增加。

从病毒家族的维度看,社工欺诈类、恶意广告类、色情类、勒索类等对抗更激烈的病毒家族更喜欢使用加固技术来保护自己。

2.2 黑产超级武器云加载进入3.0时代

随着恶意应用开发商与安全厂商的攻防日趋激烈和深入,恶意软件的开发者倾向于使用将恶意代码隐藏在云服务器并采用云端控制的方式下发恶意功能,最终通过本地框架进行动态加载来达到最佳隐藏恶意行为的效果,云加载技术是目前对抗传统安全软件最好的对抗手段。

根据腾讯安全反诈骗实验室大数据显示,目前使用动态加载技术的应用中,接近一半都是病毒。云加载技术正在成为病毒开发者最喜欢的攻击手段,色情、恶意应用分发、游戏暗扣等最赚钱的病毒家族,普遍标配云加载攻击技术来实现利益最大化。

该技术在病毒黑产中的作恶特点是:剥离恶意代码封装成payload,客户端上传特定的信息流交由云服务器控制是否下发执行payload功能,下发的代码最终在内存中加载执行,恶意代码可及时清理并保证恶意文件不落地,防止传统安全客户端感知。腾讯安全专家把这种利用技术成为“云加载”技术。

近年来,随着开发人员对Android系统架构和动态加载技术的理解的深入,各种代码热更新方案和插件化框架被发明并且免费开源,为病毒技术开发者实施云控作恶提供了技术基础,云控技术已经成为绝大多数高危木马的标配,腾讯安全反诈骗实验室近期也发现了若干使用云控技术的病毒家族。

云加载技术目前已经更新到3.0版本,该版本框架病毒开发者不仅可以通过地域、运营商、机型、设备等维度限制感染用户群,还能利用VA等虚拟加载技术彻底剥离恶意代码,通过一个白框架来按需加载扩展各种恶意功能,普通安全厂商很难再捕获到病毒的恶意行为。

2.3 黑产渗透更多的供应链,供应链安全风险加剧

回顾整个Android应用供应链相关的重大安全事件可以发现,针对供应链攻击的安全事件在用户影响、危害程度上绝不低于传统的恶意应用和针对操作系统的0day漏洞攻击,腾讯安全专家研究发现针对Android应用供应链的攻击的呈现以下趋势:

1)针对供应链下游(分发环节)攻击的安全事件占据了供应链攻击的大头,受影响用户数多在百万级别,且层出不穷。类似于XcodeGhost这类污染开发工具针对软件供应链上游(开发环境)进行攻击的安全事件较少,但攻击一旦成功,却可能影响上亿用户。

2)第三方SDK安全事件和厂商预留后门也是Android供应链中频发的安全事件,这类攻击大多采用了白签名绕过查杀体系的机制,其行为也介于黑白之间,从影响用户数来说远超一般的漏洞利用类攻击。

3)从攻击的隐蔽性来讲,基于供应链各环节的攻击较传统的恶意应用来说,隐蔽性更强,潜伏周期更久,攻击的发现和清理也都比较复杂。

4)针对供应链各环节被揭露出来的攻击在近几年都呈上升趋势,在趋于更加复杂化的互联网环境下,软件供应链所暴露给攻击者的攻击面越来越多,并且越来越多的攻击者也发现针对供应链的攻击相对针对应用本身或系统的漏洞攻击可能更加容易,成本更低。

二、PC端黑色产业链日趋成熟,攻击更加精准化

1.勒索病毒解密产业链,对企业及公共机构造成严重威胁

2018年,大量企业、政府机关和公共服务机构由于遭遇勒索病毒,生产系统数据被加密破坏,重要业务系统陷入崩溃。勒索病毒攻击者利用各种手段尝试入侵重要机构网络系统,例如通过弱口令漏洞入侵企业网站,再将企业Web服务器作为跳板,渗透到内网,然后利用强大的局域网漏洞攻击工具将勒索病毒分发到内网关键服务器,将企业核心业务服务器、备份服务器数据加密。

病毒一旦得手,企业日常业务立刻陷于崩溃状态,关键业务因此停摆。如果企业网管发现连备份系统也一样被破坏了。那基本只剩下一条路:缴纳赎金。众所周知,勒索病毒的加密技术是高强度的非对称加密,除非得到密钥,解密在理论上都是不可能的。正因为如此,腾讯御见威胁情报中心监测发现了这个不为人知的奇葩产业链:勒索病毒解密产业链。

该产业链的从业者甚至通过购买搜索引擎关键字广告来拓展业务。

当受害企业寻求解决办法时,正规的安全厂商往往会回复,“没有备份数据就找不回来了”。而受害企业通过互联网上的方法寻找到的解密服务商,这些人充当了受害企业联系勒索病毒传播者的中介,相对受害企业,更熟悉虚拟数字币的交易,在一番讨价还价之后,代理受害企业买回解密密钥,从而解密数据。某些情况下,亦不能排除负责解密的中介机构,是否和勒索病毒传播者之间存在某些联系。

除此之外,勒索病毒传播链本身也有专业分工,有人负责制作勒索病毒生成器,交给有网站资源的人分发,各方参与利益分成。

2.控制肉鸡挖矿产业链,游戏外挂成挖矿木马“重灾区”

去年年底,温州市区一家公司的网站被恶意攻击,网警梳理线索时,发现犯罪嫌疑人徐某有重大嫌疑,经过调查,警方果然发现一个利用漏洞安装挖矿木马的犯罪团伙。该团伙有12名成员,利用漏洞攻击别人电脑,获利控制权之后,植入挖矿木马。专案组查明,这一团伙共租赁20余台服务器远程控制了5000余台“肉鸡”,非法挖矿1000余枚门罗币等数字货币(价值约60余万元)。

无独有偶,2017年底,腾讯电脑管家通过安全大数据监测发现,一款名为“tlMiner”的挖矿木马在2017年12月20日的传播量达到峰值,当天有近20万台机器受到该挖矿木马影响。此次发现的“tlMiner”挖矿木马,植入在“吃鸡”游戏(steam版绝地求生)外挂“吃鸡小程序”中。由于“吃鸡”游戏对电脑性能要求较高,黑产团伙瞄准“吃鸡”玩家、网吧的高配电脑,搭建挖矿集群。

腾讯电脑管家团队立即配合守护者计划将该案线索提供给警方,协助山东警方于2018年3月初立案打击“tlMiner”木马黑产。据分析,“tlMiner”木马作者在“吃鸡”游戏外挂、海豚加速器(修改版)、高仿盗版腾讯视频网站(dy600.com)、酷艺影视网吧VIP等程序中植入“tlminer”挖矿木马,通过网吧联盟、QQ群、论坛、下载站和云盘等渠道传播。

腾讯电脑管家安全团队继续加深对挖矿木马黑产链条的研究,协助警方深挖,进一步分析挖掘到木马作者上游:一个公司化运营的大型挖矿木马黑色产业链。4月11日,警方在辽宁大连一举查封该挖矿木马黑产公司。

该公司为大连当地高新技术企业,为非法牟利,搭建木马平台,招募发展下级代理商近3500个,通过网吧渠道、吃鸡外挂、盗版视频软件传播投放木马,非法控制用户电脑终端389万台,进行数字加密货币挖矿、强制广告等非法业务,合计挖掘DGB(极特币)、HSR(红烧肉币)、XMR(门罗币)、SHR(超级现金币)、BCD(比特币钻石)、SIA(云储币)等各类数字货币超过2000万枚,非法获利1500余万元。

3.DDoS攻击技术不断演进,团伙作案趋势明显

DDoS攻击在分工上由工具开发者向人员多维化发展,也出现了技术、销售、渠道等分工,在DDoS攻击产业链中一般称为接发单人、担保商、肉鸡商、攻击软件开发人员等。随着DDoS的新技术不断的被挖掘出来,DDoS攻击正在规模化、自动化、平台化的发展。由于DDoS在技术与平台上始终是站在互联网的最前沿,往往我们看到一个峰值的出现,便是互联网的一场灾难。

每一个攻击类型的出现或每一个攻击类型的技术的更新,都是一场攻击者的狂欢,例如今年的Memcached反射放大攻击,不仅仅在技术上达到了5万倍的反射放大效果,而且在流量上更是达到了1.7Tbps的峰值效果。

1)DDoS的攻击类型

SYNFlood做为早期的攻击类型,占比近20%,主要原因是其攻击效果有良好的穿透力,无论是在攻击服务器,还是中间的基础网络设施上,都能在到良好的效果。

同样UDP Flood以其数据包构造灵活的特点仍占有大量比重。占比最大的是排名第一的反射放大攻击(占比60%),反射放大以其攻击成本小、构造发包简单、反射倍数高、在自动化平台后端调用方便等特点,成为流量攻击中的首选。

在流行的DDoS攻击类型占比统计中,以IoT设备为反射源的SSDP反射放大已连续几年都占比最高,今年的一支新秀Memcached反射也没有盖过其占比的锋芒。

因为攻击手法的增多,DDoS攻击效果立竿见影,利用DDoS进行勒索、攻击竞争对手的情况越来越普及;催生了DDoS黑色产业链越来越细化,除发单人、担保商、黑客软件作者外,又增加了肉鸡商、接单人、资源提供者、接发单平台几个维度。

在巨大经济利益面前,DDoS攻击黑产在多个环节逐渐完成自动化,使整个链条无需人工参与,发单人直接在DDoS平台下单,我们称这样的平台为“页端DDoS攻击平台”。

“页端DDoS攻击平台”包括用户注册、套餐付费、攻击发起等一系列操作,且在用户侧都可以完成,不需要其他人员参与。页端DDoS攻击平台在发起攻击时,是以API形式调用发包机或支持API的C2服务器进行攻击,延迟时间一般小于10秒;对比传统DDoS 攻击来看,已完成了全自动的无人值守攻击方式。页端DDoS攻击平台其高度集成管理,在成单率、响应时长、攻击效果等方面都得到了可行的解决。

在平台化外,DDoS攻击类型也有长足的发展。例如IoT(物联网)僵尸网络的典型代表mirai针对互联网基础架构服务提供商Dyn DNS(如今的Oracle DYN)进行功击。今年3月份的Memcached反射更是一剂强心针,以5万的反射放大倍数、1.7Tbps的流量峰值再一次刷新了DDoS的认知。

2)DDoS攻击典型案例–“暗夜”攻击团伙案

DDoS攻击黑产会严重影响企业线上业务开展,腾讯云鼎实验室曾配合公安机关破获暗夜DDoS攻击团伙案,该团伙攻击对某客户的游戏业务产生严重影响,玩家访问缓慢,登录掉线,甚至完全没有响应。

腾讯云鼎实验室根据系统日志判断为大流量持续DDoS攻击,单日攻击流量峰会达462G,该团伙掌握的DDoS攻击资源十分庞大。腾讯云鼎实验室通过努力,最终在该团伙控制的其中一台C2服务器发现可疑线索,通过流量、日志、关联等多维度的数据分析,最终定位到证据所在,公安机关根据这些信息在境外将暗夜DDoS黑产团伙一网打尽。

三、互联网黑产对抗的技术趋势与实践

1.人工智能成移动端黑产对抗技术突破口

移动黑产以趋利为目的,为了保护自己的利益,黑产从业人员会想尽一切办法来隐藏自己,与安全厂商之间的对抗也愈发激烈。根据多年积累的对抗经验,腾讯安全团队认为移动黑产对抗技术发展主要有以下几个方向:

1)立体式安全检测体系

从应用传播、应用安装、应用运行、应用变现等维度,将各种安全检测手段融入到应用的不同生命周期。如接入URL安装检测引擎可以在下载阶段即可阻断恶意行为继续,又如行为检测引擎可以在病毒执行敏感操作时候及时阻止避免进一步破坏操作。

2)用户端侧的主动防御

安全厂商使用的传统静态引擎由于缺乏真实的行为数据,黑产团伙很容易就可以突破其防线。不管黑产采用多少种先进的对抗手段,其最终的目的还是通过执行恶意行为来实现牟利的目的,手机厂商通过系统层原生集成应用敏感行为检测点,真实的捕获到恶意行为。数据脱敏以后可以辅助深度学习等方法实现更快,更准确的检测效果。

3)引入人工智能算法,智能识别未知样本

传统杀毒引擎从病毒的发现到检出会存在一段时间的空窗期(比如样本的收集)。安全研究人员可以将丰富的人工经验,通过深度学习技术,泛化成通用的病毒检测模型,提升未知病毒的检出能力。

腾讯安全团队基于第三种思路研发的腾讯TRP-AI反病毒引擎已经在腾讯手机管家云引擎中得到应用,并且该技术通过深入集成的方式在魅族Flyme7系统中率先全面应用。集成TRP反病毒引擎的系统新病毒发现能力提升8.3%,新检出病毒中使用云加载技术的占比60.1%,使用加固加壳技术的占比12.%,并且病毒平均潜伏期为35min。

2.化被动为主动的PC端黑产对抗技术

伴随互联网产业的加速发展,PC端黑产技术也在不断进化。为了最大限度获利,黑产会尽可能在用户电脑驻留存活更长时间。同时,2018年区块链的火爆令加密山寨币迅速成为黑色产业地下流通的硬通货,通过挖矿获取山寨虚拟加密币,使得黑产变现链条更加直接。为了更好地狙击PC端黑产,安全厂商的对抗技术主要包括以下方面:

1)更快速的安全漏洞响应机制

安全漏洞始终是网络攻击的绝佳通道,0day漏洞往往被应用在高价值目标的精准攻击上。2018年“永恒之蓝”漏洞攻击包被经常提起,这个武器级的漏洞攻击包在被黑客完全公开后,一度被黑产广泛使用,成为入侵企业网络、传播勒索病毒,植入挖矿木马的利器。

网络黑产可以在极短的时间内将Windows已经发布补丁的高危漏洞迅速利用起来,然而,目前仍有大部分的网民因为使用盗版系统等种种原因,补丁安装率普遍不高。这种现状使得漏洞攻击工具在补丁发布之后很长时间,都大有用武之地。杀毒软件更新补丁修复功能,对于帮助这类用户排除干扰,修补系统漏洞起到了关键作用。

对于一些突然爆发的0day漏洞,也需要安全软件进行提前防御。2018年,Office公式编辑器漏洞和Flash 0day漏洞是黑产利用最广泛的攻击武器,利用此类漏洞进行攻击,用户打开一个Office文档或浏览一个网页也可能立即中毒。腾讯电脑管家针对攻击者的这一特性集成“女娲石”防御技术,可以让电脑在即使遭遇部分0day攻击时,也能够实现有效拦截。补丁修复方案的升级,让腾讯电脑管家用户电脑的漏洞修复率大幅上升,黑产作案的技术成本也明显提升。

2)对抗勒索病毒破坏的数据备份机制

2017年,以WannaCry为首的勒索病毒采取相对盲目的广撒网式破坏,却并未因勒索病毒的广泛传播而取得足够的经济回报:绝大多数的普通用户在遭遇勒索病毒攻击之后,放弃了缴纳赎金解锁数据,而是选择重装系统。对于网络黑产来说,这类广撒网式攻击损人不利己,攻击者开始转向针对高价值目标的精确打击。通过系统漏洞、社会工程学欺骗、精心设计的钓鱼邮件来诱使目标用户运行危险程序。

然而,勒索病毒的感染量下降了,勒索病毒造成的损失却依然严重:许多重要信息系统被勒索病毒破坏,受害者被迫支付赎金。面对勒索病毒越来越精准的打击,高价值用户需要更加完善的数据保护方案,腾讯电脑管家迅速升级“文档守护者”功能,通过充分利用用户电脑冗余的磁盘空间自动备份数据文档,既使电脑不幸染毒,数据文档被加密,也能通过文档守护者来恢复文档,尽最大可能减小损失。

3)能够揭示黑产全貌的威胁情报系统

为逃避杀毒软件的查杀,病毒木马的行为变得更加隐蔽,病毒样本的更新、木马控制服务器的变化的速度都比以往更快,部分攻击者甚至会限制恶意程序扩散的范围,黑产的攻击正在变得愈发难以捕捉和缺少规律性。

腾讯御见威胁情报系统基于安全大数据分析的处理系统,通过分析成千上万个恶意软件的行为并创建一系列的规则库,再利用这些规则去匹配每个新发现的网络威胁,像完成一幅拼图一样,将一个个分散的病毒木马行为完整拼接,从中发现木马病毒的活动规律,追溯病毒木马传播的源头。2018年,腾讯御见威胁情报系统已成功协助警方破获多起网络黑产大案,成为打击黑产的有力武器。

四、2018年下半年的安全趋势分析

1.MAPT攻击威胁持续上升,移动设备或成重大安全隐患

2018年随着互联网+进程的不断推进,通过智能设备我们可以享受到非常便捷的移动互联网服务,如移动医疗服务,社保服务,电子身份证,电子驾照等政府贴心的民生服务。同时也有大量的企业和政府部门开始习惯通过智能终端来管理内部工作,这些基于智能手机的服务方便大众的同时,也暴露出巨大的安全隐患:移动互联网时代的智能手机承载着全面而巨量的个人和组织的隐私数据,一旦个人智能手机被操控,黑客团伙通过这个设备获取到各种敏感数据,从而导致不可估量的损失。

虽然目前主流关于APT的讨论仍集中于PC电脑,但是趋势表明APT攻击组织正在往网络军火库中添加MAPT(Mobile AdvancedPersistent Threat)武器以获得精准而全面的信息。比如APT-C-27组织从2015年开始更新维护基于安卓的RAT工具,利用这些工具来收集用户手机上的文档、图片、短信、GPS位置等情报信息。Skygofree会监控上传录制的amr音频数据,并尝试root用户设备以获取用户whatsapp.facebook等社交软件的数据。Pallas则全球部署试图攻击包括政府、军队、公用事业、金融机构、制造公司和国防承包商的各类目标。

全平台覆盖加上国家级黑客团队攻击技术的加持,无边界智能办公时代被忽视的移动智能设备正在成为重大安全隐患,MAPT正在威胁企业,重点机构乃至政府部门。它们需要拥有移动/PC一体化反APT安全解决方案。

2.恶意应用的检测和反检测对抗将愈发激烈,安全攻防进入焦灼局势

黑产团伙对抗技术日趋完善,安全攻防进入焦灼局势,并且传统安全监测方案正在逐渐处于劣势的一方。一方面在巨大利益的驱使下企业化运作的黑产团伙有更多的财力开发基于云加载技术的恶意应用(恶意代码变得很难捕获),并且有充沛的人力进行免杀对抗(传统引擎基于特征检测,很容易被免杀绕过)。另一方面一些供应链的厂商也在知情或不知情的情况下成为黑产团伙的保护伞,在自己的框架中引入包含恶意功能的SDK,导致有大量的恶意应用潜伏一年甚至数年才被新技术手段发现。

3.黑产团伙拓宽安卓挖矿平台市场,移动挖矿应用或迎来爆发

相比电脑平台,移动智能设备普及率高,使用频率极高,但是移动设备受限于电池容量和处理器能力,而且挖矿容易导致设备卡顿、发热、电池寿命下降,甚至出现手机电池爆浆等物理损坏,移动平台似乎并不是一个可用于可持续挖矿的平台。

随着移动设备性能不断提升,2018年黑产团伙还在尝试利用手机平台生产电子货币。比如HiddenMiner潜伏于三方应用市场诱导用户下载,然后控制用户手机设备窃取Monero,又如ADB.Miner通过端口扫描的方式发现基于安卓的TV设备进行挖矿,还发现过多起Google play官方应用市场应用包含挖矿恶意代码的事件,这些事件的不断发生预示这黑产团伙正在拓宽安卓挖矿平台市场。

4.勒索病毒攻击更加趋向于精准化的定向打击

御见威胁情报中心监测发现,勒索病毒正在抛弃过去无差别的广撒网式盲目攻击,而是转向高价值的攻击目标进行精确打击。攻击者利用系统漏洞或精心构造的钓鱼邮件入侵企业网络,渗透到企业内网之后,选择最有可能敲诈成功的高价值数据来加密勒索

2018年上半年较多的教育机构、医疗机构、进出口贸易企业、制造业等高价值目标的计算机系统被勒索病毒攻击,这一趋势正变得日益明显。同时,这意味着高价值目标需要加强安全防护,特别重要的是做好系统漏洞修补和关键业务数据的备份。

5.挖矿病毒比重明显增大,手段更加隐蔽

挖矿病毒正在成为最常见的病毒类型,因为区块链相关产业的火爆,各种流行的虚拟加密货币可以在交易所直接获利。除非区块链相关的空气币泡沫破灭,否则挖矿病毒都将是最直接的黑产赢利模式,远超前几年流行的盗号木马。

比特币挖矿需要高性能的矿机运行,成本高昂,对控制肉鸡挖矿来说,性价比太低。挖矿病毒大多利用受害电脑的CPU资源挖山寨币,而且为了避免被受害者发现,很多挖矿病毒对系统资源的消耗控制更严。

监测发现,大量挖矿病毒会限制CPU资源消耗的上限,当用户在运行高资源消耗的程序时,暂时退出挖矿;在用户系统闲置时全速挖矿等等。挖矿病毒也基本限于三种形式:普通客户端木马挖矿、网页挖矿(入侵网站,植入挖矿代码,打开网页就挖矿),入侵控制企业服务器挖矿。

6.高级可持续性APT攻击威胁距离普通人越来越近

高级可持续性威胁(简称APT),是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。安全厂商近期披露的跨国APT组织,利用高价值安全漏洞,构造精准欺诈邮件,利用所有可能的方式入侵目标网络,窃取情报,破坏目标系统。

除了以上高价值目标,腾讯御见威胁情报中心发现,部分商业化的黑客组织,可能正在使用APT攻击的方式针对普通企业,目标是获得商业情报,出售给特定买家。使得比较接近高价值目标的商业机构,也成为下一个APT攻击的领域。而普通企业的网络安全防护体系,远弱于国家、政府、大型企业网络,更容易成为APT攻击的受害者。

7.刷量刷单类灰色产业依然严重

互联网创新企业容易遭遇羊毛党的攻击,国家实行实名制对网络服务帐号严格管理,但随着物联网的兴起,大量未实行实名制的物联网卡流入市场。羊毛党大量买入物联网卡,注册大量帐号待价而沽。这些虚假帐号在刷单刷量的薅羊毛产业中普通使用,打造虚假繁荣,给相关企业造成严重损失。

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

前言

时至2018年,移动互联网的发展已走过十年历程,智能设备已深入人们生活的方方面面,其安全问题也时刻牵动着人们的神经。自2014年移动端恶意软件爆发时增长以来,Google、手机厂商和移动安全厂商都投入了巨大的精力,与恶意开发者进行了激烈的对抗。

过去几年,经过各方的共同努力,普通Android恶意软件的迅猛增长趋势已经得到遏制,据腾讯手机管家数据显示,2018年上半年Android平台新增恶意样本数468.70万,较去年同期下降47.8%。但与此同时,腾讯大数据监测到基于Android应用供应链的其他环节的安全问题逐渐增多,显示出恶意开发者已经将更多的目光投向Android应用供应链的薄弱环节。鉴于供应链安全问题较强的隐蔽性和影响的广泛性,希望相关各方关注供应链攻击的新形式,做好有效的安全防御措施。

一、新常态下Android应用安全威胁朝供应链环节转移

2017年永恒之蓝勒索蠕虫事件和《网络安全法》的正式实施是网络安全行业的一个分水岭,广大的政企机构的攻防态势和网络安全的监管形势都发生了根本变化,我们称之为网络安全的新常态。2018年,网络安全将全面进入这种新常态,安全威胁也越来越凸显出攻击复杂化、漏洞产业化、网络军火民用化等日益升级的特点。作为网络安全行业重要领域的移动安全,随着攻防对抗进入深水区,面临的安全威胁也呈现出新的特点:

1. Android恶意样本总体增长趋势得到遏制

过去几年,在Google、手机厂商和安全厂商的共同努力下,移动端恶意软件的迅猛增长趋势得到了遏制。根据Google《2017年度Android安全报告》显示,2017年,有超过70万款应用因违反相关规定从Google Play上下架,Android用户在Google Play 上下载到潜在恶意应用的几率是0.02%,该比率较2016年下降0.02%。而根据腾讯手机管家数据显示,2018年上半年Android平台新增恶意样本468.70万,相比2017年上半年(899万)下降47.8%,扭转了2015年以来的迅猛增长势头。

2015-2018年上半年新增病毒包数趋势对比.png

2. 更多的高端的移动端恶意软件

相较与Android恶意应用总体数量呈下降趋势,高端的、复杂移动恶意软件的攻击却有上升趋势。近年来,安全研究人员和分析团队跟踪了100多个APT组织及其活动,这些组织发起的攻击活动异常复杂,而且拥有丰富的武器资源,包括0day漏洞,fileless攻击工具等,攻击者还会结合传统的黑客攻击动用更复杂的人力资源来完成数据的窃取任务。2016年8月Lookout发表了他们对一个复杂的移动间谍软件Pegasus的研究报告,这款间谍软件与以色列的安全公司NSO Group有关,结合了多个0day漏洞,能够远程绕过现代移动操作系统的安全防御,甚至能够攻破一向以安全著称的iOS系统。2017年4月,谷歌公布了其对Pegasus间谍软件的安卓版Chrysaor的分析报告。除了上述两款移动端间谍软件之外,还有许多其他的APT组织都开发了自定义的移动端植入恶意软件。评估认为,在野的移动端恶意软件的总数可能高于目前公布的数量,可以预见的是,在2018年,攻击量会继续增加,将有更多的高级移动端恶意软件被发现。

3. 更多的供应链薄弱环节被利用

在APT攻击活动的研究过程中,经常可以看到,恶意攻击者为了尝试突破某一目标可以花费很长一段时间,即使屡屡失败也会继续变换方式或途径继续尝试突破,直至找到合适的入侵方式或途径。同时,恶意攻击者也更多地将目光投向供应链中最薄弱的一环,如手机OTA升级服务预装后门程序,第三方广告SDK窃取用户隐私等,这类攻击借助“合法软件”的保护,很容易绕开安全产品的检测,进行大范围的传播和攻击。经过腾讯大数据监测发现,近年来,与Android应用供应链相关的安全事件越来越多,恶意软件作者正越来越多地利用用户与软件供应商间的固有信任,通过层出不穷的攻击手法投递恶意载体,造成难以估量的损失。

综上所述,在Android安全领域,过去几年经Google、手机厂商和安全厂商的共同努力,普通的Android恶意软件的迅猛增长趋势得到了遏制,而恶意开发者则将更多的目光转向了Android应用供应链的薄弱环节,以期增强攻击的隐蔽性和绕过安全厂商的围追堵截,扩大攻击的传播范围。本文将列举近年来与Android应用供应链安全的相关事件,分析Android应用供应链面临的安全挑战,并提出相应的防护对策和建议。

二、Android应用供应链相关概念和环节划分

目前关于Android应用供应链还没有明确的概念,我们根据传统的供应链概念将其简单抽象成如下几个环节:

1.开发环节

应用开发涉及到开发环境、开发工具、第三方库等,并且开发实施的具体过程还包括需求分析、设计、实现和测试等。在这一环节中形成最终用户可用的应用产品。

2.分发环节

用户通过应用商店、网络下载、厂商预装、Rom内置等渠道获取到应用的过程。

3.使用环节

用户使用应用的整个生命周期,包括升级、维护等过程。

三、Android应用供应链生态重要安全事件

从最终用户安全感知角度而言,Android端主要的安全威胁仍然是信息泄露、扣费短信、恶意广告、挖矿木马、勒索软件等常见形态。透过现象看本质,正是因为移动生态环节中的一些安全脆弱点,导致了这些威胁的频发和泛滥。前面定义了应用供应链的概念并抽象出了几大相关环节,攻击者针对上述各环节进行攻击,都有可能影响到最终的应用产品和整个使用场景的安全。

下面,本文将通过相关的安全事件来分析从开发工具、第三方库、分发渠道、应用使用过程等应用供应链相关环节引入的安全风险。

1.png

3.1 开发工具相关安全调研

针对开发工具进行攻击、影响最为广泛的莫过于2015年的XcodeGhost(Xcode非官方版本恶意代码污染事件),Xcode 是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具(IDE),是开发OS X 和 iOS 应用程序的最主流工具。攻击者通过向非官方版本的Xcode注入病毒Xcode Ghost,它的初始传播途径主要是通过非官方下载的 Xcode 传播,通过 CoreService 库文件进行感染。当应用开发者使用带毒的Xcode工作时,编译出的App都将被注入病毒代码,从而产生众多携带病毒的APP。

在Android应用开发方面,由于Android系统的开放性和官方开发工具获取的便捷性,Android平台上尚未发生影响重大的开发工具污染事件。但是当前一些厂商为了进一步简化应用开发者的工作,对Android开发环境进行了进一步的封装,比如App Inventor支持拖拽式开发,PhoneGap等平台支持直接使用html开发应用等,这些开发平台通常为了保证功能的实现,申请大量与用户隐私相关的权限,导致应用存在隐私泄漏的安全风险。另一方面,手机编程工具AIDE和国内支持中文开发的易语言开发工具也进一步降低了恶意开发者的准入门槛,大量使用此类工具开发的恶意应用流入市场,对用户造成安全风险。

3.2 第三方sdk安全事件

 Android应用的开发涉及到许多第三方SDK,包括支付、统计、广告、社交、推送、地图类等多种类型。根据对应用市场上各类型应用TOP 100使用的第三方SDK情况进行分析,发现各类SDK在应用中的集成比例从高到低依次为统计分析类、广告类、社交类、支付类、位置类、推送类。

2.png

而各种类型的APP在第三方SDK使用数量方面,金融借贷类平均使用的SDK数量最多,达到21.5,紧随其后是新闻类APP,平均数量为21.2;往后是购物类、社交类、银行类和游戏类,平均数量都超过15个;再后面的则是出行类、办公类和安全工具类,平均使用的SDK数量相对较少,分别为11.4、9.7和6.7。

3.png

从统计得到的数据可以看到,Android应用在开发时都集成使用了数目众多的第三方SDK,尤其是金融借贷类、购物类、银行类等涉及用户身份信息和财产安全的应用,使用的第三方SDK数量普遍在15个以上,最多的甚至达到30多个。而这些应用集成的第三方SDK中,不仅包含大厂商提供的SDK,而且还包含很多开源社区提供的SDK,这些SDK的安全性都没有得到很好的验证,一旦发生安全问题,将直接危害用户的隐私和财产安全,造成严重的后果。

Android平台数目庞大第三方SDK在加速APP应用产品成型、节省开发成本的同时,其相关安全问题也不容小视。总结近几年Android平台发生第三方SDK安全事件,其安全问题主要发生在以下几个方面:

首先,第三方SDK的开发者的安全能力水平参差不齐,且众多第三方SDK的开发者侧重于功能的实现,在安全方面的投入不足,导致第三方SDK中可能存在着这样或那样的安全漏洞。近两年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等,由于其被广泛集成到大量的APP中,漏洞的影响范围非常大。

FFmpeg漏洞

安全事件 FFmpeg漏洞
披露时间 2017年6月
事件描述 FFmpeg的是一款全球领先的多媒体框架,支持解码、编码、转码、复用、解复用、流媒体、过滤器和播放几乎任何格式的多媒体文件。2017年6月,neex向Hackerone平台提交了俄罗斯最大社交网站VK.com的ffmpeg的远程任意文件读取漏洞。该漏洞利用了FFmpeg可以处理HLS播放列表的特性,而播放列表(Playlist)中可以引用外部文件。通过在播放列表中添加本地任意文件的引用,并将该文件上传到视频网站,可以触发本地文件读取从来获得服务器文件内容。同时,该漏洞亦可触发SSRF漏洞,造成非常大的危害。
影响范围 主流的视频应用几乎都采用了该开源框架,一旦被爆出安全漏洞,影响无法估量
参考链接 https://hackerone.com/reports/226756 http://www.freebuf.com/column/142775.html

友盟SDK未导出组件暴露漏洞

安全事件 友盟SDK未导出组件暴露漏洞
披露时间 2017年12月
事件描述 2017年12月,国内消息推送厂商友盟的SDK被爆出存在可越权调用未导出组件的漏洞,利用该漏洞可以实现对使用了友盟SDK的应用进行多种恶意攻击,包括:任意组件的恶意调用、虚假消息的通知、远程代码执行等。
影响范围 7千多款APP应用受影响,涉及多种类型的应用
参考链接 http://www.freebuf.com/articles/system/156332.html

ZipperDown漏洞

安全事件 ZipperDown漏洞
披露时间 2018年5月
事件描述 2018年5月,盘古实验室爆出SSZipArchive和ZipArchive两个开源库解压缩过程中没有考虑到文件名中包含“../”的情况,造成了文件释放过程中路径穿越,导致恶意Zip文件可以在App沙盒范围内,覆盖任意可写文件。
影响范围 影响多款流行应用
参考链接 https://zipperdown.org/

其次,部分SDK开发者出于某种目的,在其开发的SDK中预留了后门用于收集用户信息和执行越权操作。相关安全事件:

百度SDK Wormhole事件

安全事件 百度moplus SDK被爆出存在(Wormhole)漏洞
披露时间 2015年11月
事件描述 2015年11月,百度moplus SDK被爆出存在(Wormhole)漏洞,影响多款用户量过亿的应用。通过对Wormhole这个安全漏洞的研究,发现Moplus SDK具有后门功能,攻击者可以利用此后门对受害用户手机进行远程静默安装应用、启动任意应用、打开任意网页、静默添加联系人、获取用用户隐私信息等。
影响范围 14000款app遭植入,安卓设备感染量未知 
参考链接 http://www.freebuf.com/vuls/83789.html https://www.secpulse.com/archives/40062.html

Igexin SDK窃取用户隐私

安全事件 Igexin SDK窃取用户隐私
披露时间 2017年8月
事件描述 2017年8月,国内一家名为Igexin的广告SDK被移动安全厂商Lookout报出存在秘密窃取用户数据的行为。Igexin SDK借着合法应用的掩护上架应用市场,在应用运行过程中会连接Igexin的服务器,下载并动态加载执行恶意代码,收集上报用户设备上的各种隐私数据,包括设备信息、通话日志记录等。
影响范围 报告指出Google Play上超过500款应用使用了Igexin 的广告SDK,这些应用的总下载次数超过1亿次。
参考链接 https://blog.lookout.com/igexin-malicious-sdk

再次,部分恶意开发者渗入了SDK开发环节,以提供第三方服务的方式吸引其他APP应用开发者来集成他们的SDK。借助这些合法应用,恶意的SDK可以有效地躲避大部分应用市场和安全厂商的检测,影响大量用户的安全。

“Ya Ya Yun”恶意SDK

安全事件 “Ya Ya Yun”恶意SDK
披露时间 2018年1月
事件描述 Doctor Web病毒分析师在Google Play上发现了几款游戏在运行时秘密地下载和启动执行各种恶意行为的附加模块。分析发现作恶模块是一个叫做呀呀云(Ya Ya Yun)的框架(SDK)的一部分。该SDK秘密地从远程服务器下载恶意模块,通过后台打开网站并模拟点击来盗刷广告,获取灰色收益。
影响范围 Google Play上超27款游戏应用包含此恶意SDK,影响超450万个用户
参考链接 https://news.drweb.com/show/?i=11685&lng=en&c=14

“寄生推”恶意SDK

安全事件 寄生推”恶意SDK
披露时间 2018年4月
事件描述 2018年4月,腾讯安全反诈骗实验室的TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,它通过预留的“后门”云控开启恶意功能,私自ROOT用户设备并植入恶意模块,进行恶意广告行为和应用推广,以实现牟取灰色收益。
影响范围 超过300多款知名应用受“寄生推”SDK感染,潜在影响用户超2000万。
参考链接 http://www.freebuf.com/articles/terminal/168984.html

3.3 应用分发渠道安全事件

Android应用分发渠道在供应链中占据着十分重要的位置,也是安全问题频发的环节。Android应用分发渠道众多,应用市场、厂商预装、破解网站、ROM内置等都是用户获取应用的常见方式。不仅第三方站点下载、破解应用等灰色供应链中获取的软件极易被植入恶意代码,就连某些正规的应用市场,由于审核不严等因素也被攻击者植入过含有恶意代码的“正规”软件。

WireX Android Botnet

安全事件 WireX Android Botnet 污染 Google Play 应用市场事件
披露时间  2017年8月
事件描述 2017年8月17日,名为WireX BotNet的僵尸网络通过伪装普通安卓应用的方式大量感染安卓设备并发动了较大规模的DDoS攻击,此举引起了部分CDN提供商的注意,此后来自Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team  Cymru等组织联合对该事件进行分析,并于8月28日发布了该事件的安全报告。
影响范围 发现大约有300种不同的移动应用程序分散在Google Play商店中,WireX引发的DDoS事件源自至少7万个独立IP地址,8月17日攻击数据的分析显示,来自100多个国家的设备感染了WireX BotNet。
参考链接 https://blog.cloudflare.com/the-wirex-botnet/?utm_content=buffer9e1c5&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer http://www.freebuf.com/articles/terminal/145955.html

Pujia8 破解网站携带木马

安全事件 Pujia8 破解网站携带木马
披露时间 2017年11月
事件描述 2017年11月,腾讯反诈骗实验室发现某游戏破解网站上多款游戏应用被植入了Root模块,在运行时,利用 CVE-2015-1805等内核漏洞强行ROOT用户设备,并将无图标恶意应用植入到设备系统目录,长期潜伏用户设备进行恶意广告和流氓推广行为。
影响范围 涉及多款破解游戏应用,影响百万用户
参考链接 http://www.freebuf.com/articles/network/154029.html

除了用户直接获取应用的渠道存在的安全威胁外,其他提供第三方服务的厂商如OTA升级、安全加固等也可能在服务中预留后门程序,威胁用于的隐私和设备安全。

广升被爆向Android设备预装后门

安全事件 广升被爆向Android设备预装后门,窃取用户隐私
披露时间 2016年11月
事件描述 上海广升信息技术有限公司是全球领先的FOTA技术服务提供商之一,核心业务为广升FOTA无线升级,通过升级包差分,空中下载,远程升级技术,为具有连网功能的设备如手机、平板电脑等智能终端提供固件差分包升级服务。     2016年11月,信息安全公司Kryptowire在一些价格低廉的Android设备上发现了后门程序,该后门会每隔72小时收集设备上的隐私信息,包括短信内容、联系人信息、通话记录、IMEI、IMSI、位置、安装的应用和使用的应用等,上传到该后门开发商的服务器中。后门的开发商是上海广升信息技术股份有限公司,该公司法律顾问称这个后门出现在设备制造商BLU生产的设备上是一个错误行为。     2017年11月, Malwarebytes 移动安全团队公布的报告称大量 Android 设备仍然含有了提供 FOTA 服务的上海广升公司的后门。
影响范围 部分使用了广升FOTA技术服务的中低端Android设备
参考链接 https://www.bleepingcomputer.com/news/security/secret-backdoor-in-some-low-priced-android-phones-sent-data-to-a-server-in-china/ https://www.bleepingcomputer.com/news/security/chinese-backdoor-still-active-on-many-android-devices/

OTA厂商锐嘉科在Android设备中植入rootkit

安全事件 OTA厂商锐嘉科在Android设备中植入rootkit
披露时间 2016年11月
事件描述 2016年11月,AnubisNetworks的安全研究人员发现多个品牌的Android手机固件OTA升级机制存在安全问题,而这种不安全的的OTA升级机制和中国一家名为锐嘉科(Ragentek Group)的公司有关。 报告称,安装该恶意软件的设备可被黑客进行中间人攻击,并且以root权限执行任意代码以此来获得对Android设备的绝对控制权,其主要原因是因为设备在OTA更新的时候没有采取严格的加密措施导致的。
影响范围 三百万台被植入该后门的安卓设备
参考链接 http://www.freebuf.com/news/120639.html

某加固服务被爆出夹带广告

安全事件 某加固服务被爆出夹带广告
披露时间 2017年1月
事件描述 2017年初,有开发者反馈,开发的应用在使用了某加固服务后,被嵌入了充电广告。根据开发者的挖掘,该加固服务在加固应用时,会在开发者不知情的情况下植入代码用于拉取广告、下载拉活其他应用、程序异常上报、获取应用程序信息等行为。
影响范围 涉及使用该版本加固服务的所有应用
参考链接 http://www.dgtle.com/article-17069-1.html

3.4 使用环节的安全问题

用户在使用应用的过程中,也可能面临应用升级更新的情况,2017年12月,Android平台爆出“核弹级”Janus漏洞,能在不影响应用签名的情况下,修改应用代码,导致应用的升级安装可能被恶意篡改。同样,随着越来越多的应用采用热补丁的方式更新应用代码,恶意开发者也趁虚而入,在应用更新方式上做手脚,下发恶意代码,威胁用户安全。

Janus签名漏洞

安全事件 Android平台爆出Janus签名漏洞,应用升级可能被恶意篡改
披露时间 2017年12月
事件描述  2017年12月,Android平台被爆出“核弹级”漏洞Janus(CVE-2017-13156),该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其签名。正常情况下 根据Android签名机制,开发者发布一个应用,需要使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名,否则修改过的应用是无法安装到任何Android设备上的。但是通过Janus漏洞,恶意攻击者可以篡改Android应用中的代码,而不会影响其签名,并通过应用升级过程,覆盖安装原有应用。
影响范围 系统版本Android 5.0~8.0,采用v1签名的APK应用
参考链接 http://www.freebuf.com/articles/paper/158133.html

儿童游戏系列应用

安全事件 儿童游戏应用,动态更新下载恶意代码
披露时间 2018年5月
事件描述 2018年5月,腾讯安全反诈骗实验室曝光了“儿童游戏”系列恶意应用。这类应用表面上是儿童益智类的小游戏,在国内大部分应用市场都有上架,但实际上,这些应用在使用过程中可以通过云端控制更新恶意代码包,在背地里做着用户无法感知的恶意行为:加载恶意广告插件,通过将广告展示界面设置为不可见,进行广告盗刷行为,疯狂消耗用户流量;动态加载恶意ROOT子包,获取手机ROOT权限,替换系统文件,将恶意的ELF文件植入用户手机。
影响范围 涉及一百多款儿童游戏应用,累计影响用户数达百万
参考链接 http://www.freebuf.com/articles/terminal/173104.html

四、供应链安全的发展趋势和带来的新挑战

4.png

Android供应链安全事件时序图

分析我们整理的关于Android应用供应链的重要安全事件的时序图可以发现,针对供应链攻击的安全事件在影响面、严重程度上都绝不低于传统的恶意应用本身和针对操作系统的漏洞攻击,针对Android应用供应链的攻击的呈现出以下趋势:

1、针对供应链下游(分发环节)攻击的安全事件占据了供应链攻击的大头,受影响用户数多在百万级别,且层出不穷。类似于XcodeGhost这类污染开发工具针对软件供应链上游(开发环境)进行攻击的安全事件较少,但攻击一旦成功,却可能影响上亿用户。

2、第三方SDK安全事件和厂商预留后门也是Android供应链中频发的安全事件,这类攻击大多采用了白签名绕过查杀体系的机制,其行为也介于黑白之间,从影响用户数来说远超一般的漏洞利用类攻击。

3、从攻击的隐蔽性来讲,基于供应链各环节的攻击较传统的恶意应用来说,隐蔽性更强,潜伏周期更久,攻击的发现和清理也都比较复杂。

4、针对供应链各环节被揭露出来的攻击在近几年都呈上升趋势,在趋于更加复杂化的互联网环境下,软件供应链所暴露给攻击者的攻击面越来越多,并且越来越多的攻击者也发现针对供应链的攻击相对针对应用本身或系统的漏洞攻击可能更加容易,成本更低。

针对供应链的攻击事件增多,攻击的深度和广度的延伸也给移动安全厂商带来了更大的挑战。无论是基于特征码查杀、启发式杀毒这类以静态特征对抗静态代码的第一代安全技术,还是以云查和机器学习对抗样本变种、使用白名单和“非白即黑”的限制策略等主动防御手段为主的第二代安全技术,在面对更具有针对性、隐蔽性的攻击时,都显得捉襟见肘。在这种新的攻击环境下,我们极需一种新时代的安全体系来保护组织和用户的安全。

五、打造Android供应链安全生态

针对软件供应链攻击,无论是免费应用还是付费应用,在供应链的各个环节都可能被攻击者利用,因此,需要对供应链全面设防,打造Android应用供应链的安全生态。在应对应用供应链攻击的整个场景中,需要手机厂商、应用开发者、应用市场、安全厂商、最终用户等各主体积极参与、通力合作。

手机厂商

受到Android系统的诸多特性的影响,系统版本的碎片化问题十分严重。各大手机厂商对现存设备安全漏洞的修复和更新安全补丁的响应时间有很大的区别。

1、关注Google关于Android系统的安全通告,及时对系统已知的安全漏洞进行修复;

2、关注自身维护机型的安全动态,如被揭露出存在严重的安全问题,通过配置或加入其他安全性控制作为缓解措施,必要时对系统进行相应的安全升级;

3、遵守相关安全法规,严禁开发人员在手机系统中留下调试后门之类的安全风险,防止被恶意利用,保证可信安全的手机系统环境。

应用开发商/者

 培养开发人员的安全意识,在开发过程的各个环节建立检查点,把安全性的评估作为一个必要评审项。开发环节严格遵守开发规范,防止类似调试后门等安全威胁的产生。开发完成的应用发布前交给独立的内部或外部测评组织进行安全性评估,及时解决所发现的问题。

通过正规渠道发布应用,对应用签名证书做好保密措施,规范应用发布流程,防止应用签名证书泄露导致应用被篡改。软件升级更新时,要校验下载回来的升级包,保证不运行被劫持的升级包。

应用市场

由于Android系统的开发性和一些特殊的原因,各大手机厂商的应用市场、应用宝和众多第三方应用市场是国内应用分发的主要渠道。应用市场在Android应用供应链生态在处于十分关键的位置,也是安全问题频发的环节。针对应用市场,我们给出了以下建议:

1、规范应用审核和发布流程,各环节严格把控,禁止具有安全风险的应用进入应用市场;

2、完善的应用开发商/者的管理规范,实施有效的奖惩措施,打击恶意开发者,防止恶意开发者浑水摸鱼;

3、提升自身恶意应用检测能力或使用成熟的安全厂商提供的检测服务,预防恶意应用进入应用市场。

安全厂商

长期以来安全厂商大多以应用安全和操作系统本身的漏洞为中心提供产品和服务,针对供应链环节的安全问题似乎并没有投入足够的关注。通过上述对应用供应链各环节的重大安全事件分析可以看到,应用开发、交付、使用等环节都存在巨大的安全威胁,其导致的危害并不低于安全漏洞所导致的情况,因此仅关注软件及操作系统本身的安全威胁是远远不够的。所以,安全厂商需要从完整的软件供应链角度形成全景的安全视野,才能解决更多纵深的安全风险。安全厂商可以加强如下几点:

1.提升发现安全问题的能力,不仅限于通常意义恶意软件和系统上的安全漏洞,而是要关注应用供应链的各个环节,针对应用在终端上的行为,而非样本本身进行防御;

2.提供创新型的产品和服务,为用户实现全面细致的态势感知,立足于安全威胁本身,链接威胁背后的组织、目的和技术手段,进行持续监控,发现可能的未知攻击,并帮助用户完成安全事件的快速检测和响应。

为应对未来严峻的安全挑战,腾讯安全立足终端安全,推出自研AI反病毒引擎——腾讯TRP引擎,TRP引擎通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对设备上各类应用的行为进行深度学习,能有效识别恶意应用的风险行为,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。

5.png

同时针对恶意软件开发者和黑产从业人员,腾讯反诈骗实验室基于海量的样本APK数据、URL数据和手机号码黑库建立了神羊情报系统,可以根据恶意软件的恶意行为、传播URL和样本信息进行聚类分析,溯源追踪恶意攻击的攻击链条、使用的技术手段、背后的开发团队/者,提供详细的威胁情报,予以精确打击,保护厂商和广大用户免受恶意软件侵害。

最终用户

最终用户身处供应链的最末端,作为应用的使用者,也是恶意应用的直接危害对象,我们给出了以下建议:

1、尽可能使用正版和官方应用市场提供的APP应用;

2、不要安装非可信渠道的应用和点击可疑的URL;

3、移动设备及时进行安全更新;

4、安装手机管家等安全软件,实时进行保护。

参考链接:

https://hackerone.com/reports/226756

http://www.freebuf.com/column/142775.html

http://www.freebuf.com/articles/system/156332.html

https://zipperdown.org/

http://www.freebuf.com/vuls/83789.htmlhttps://www.secpulse.com/archives/40062.html

https://blog.lookout.com/igexin-malicious-sdk

https://news.drweb.com/show/?i=11685&lng=en&c=14

http://www.freebuf.com/articles/terminal/168984.html

https://blog.cloudflare.com/the-wirex-botnet/?utm_content=buffer9e1c5&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

http://www.freebuf.com/articles/terminal/145955.html

http://www.freebuf.com/articles/network/154029.html

https://www.bleepingcomputer.com/news/security/secret-backdoor-in-some-low-priced-android-phones-sent-data-to-a-server-in-china/

https://www.bleepingcomputer.com/news/security/chinese-backdoor-still-active-on-many-android-devices/

http://www.freebuf.com/news/120639.html

http://www.dgtle.com/article-17069-1.html

http://www.freebuf.com/articles/paper/158133.html

http://www.freebuf.com/articles/terminal/173104.html

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

一、概要

近期,腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎捕获到儿童游戏-宝宝**、儿童游戏-宝宝**、儿童游戏-公主** 等“儿童游戏”系列应用在用户设备上有流量异常行为,且存在频繁动态加载dex文件、执行命令、私自提权等可疑操作。安全研究人员通过深入跟踪和分析,发现这类应用表面上是儿童益智类的小游戏,在国内大部分应用市场都有上架,运行后应用界面也没有广告,看起来很“良心”,但实际上,这些应用可以通过云端控制下发恶意插件,在背地里做着用户无法感知的恶意行为:加载恶意广告插件,通过将广告展示界面设置为不可见,进行广告盗刷行为,疯狂消耗用户流量;动态加载恶意ROOT子包,获取手机ROOT权限,替换系统文件,将恶意的ELF文件植入用户手机。

安全人员将这一系列木马应用称为“BlackBaby”木马家族,且“BlackBaby”木马植入的恶意ELF文件模块可以脱离母体独立运行,长期潜伏用户手机,且开机自启动,在后台静默推送恶意色情、扣费软件,对用户造成严重滋扰。

腾讯安全专家分析发现“BlackBaby”系列木马为了绕过查杀、提升了与杀软对抗的能力,使用了很多病毒逃逸技术,主要包括:

使用代码分离技术将代码拆分为多个dex子包,分阶段自云端下载并动态加载,用以绕过了杀软的安装包检测,且便于其他应用集成;

使用了强混淆技术,自定义的字符串变形加密等手段,对抗静态代码检测;

云端控制下发逻辑,躲避杀软的蜜罐检测;

“BlackBaby”系列木马涉及一百多款儿童游戏应用,累计影响用户数达百万,其中影响用户较大的应用有:

软件名 包名 周用户量
儿童游戏-涂*** com.men.******rawl 20万+
儿童游戏-宝宝***钉 com.lhyy.chil****urnly 12万+
儿童游戏-打*** com.yuyoo******le3.sub1 7万+
宝宝***-儿童游戏 com.lhyy.chi*****ro 7万+
宝宝学习-涂色*** com.ba*****lor 6万+
儿童游戏-宝宝*** com.lhyy.children*** 4万+
儿童游戏-宝宝*** com.lhyy.childrenc*** 3.5万+
宝宝游戏-儿童超市 com.lhyy.children*** 3.5万+
儿童游戏-宝宝***钉 com.lhyy.children****ly 3.5万+
儿童游戏-宝宝***屋 com.lhyy.ltm.baby**** 3万+
儿童游戏-宝宝***钉 com.lhyy.children****** 3万+
儿童游戏-宝宝*** com.doding.children****** 3万+
宝宝游戏-儿童*** com.lhyy.children****** 2.5万+
儿童游戏-宝宝***巴士 com.baby.baby*** 2.5万+
恐龙宝宝***益智 com.lhyy.wl.protwobaby****** 2.5万+
宝宝***派对 com.lhyy.ltm.baby****** 2.5万+
宝宝游戏-儿童*** com.lhyy.children****** 2.5万+
儿童游戏-方块*** com.lhyy.******ks 2.5万+
儿童游戏-宝宝*** com.lhyy.children****** 2.5万+
儿童游戏-***花园 com.yuyoogame.ameng******u1Sub1.sub1 2.5万+
****拼图儿童拼图 com.lhyy.***** 2+
儿童游戏-宝宝*** com.baby.**** 2+
宝宝***酷游戏 com.lhyy.wl***** 2+
儿童游戏-***音乐 com.doding.children**** 1.5万+
儿童游戏-宝宝**** com.lhyy.children**** 1.5万+
****游戏-2到7岁 com.doding.fmsdjig****** 1.5万+
宝宝神奇** com.lhyy.wl.new**** 1.5万+
儿童学习公主**** com.lhyy.wl.princesspuzzl**** 1.5万+
****游戏-2到7岁 com.doding.fmsdjigsaw**** 1.5万+
美图****宝宝拼图 com.lhyy.wl.****puzzle 1.5万+
****乐园-宝宝游戏 com.yuyoogame.ameng******.bingyuan1 1.5万+
儿童游戏-宝宝**** com.lhyy.children**** 1.5万+
宝宝游戏-儿童*** com.lhyy.children**** 1.5万+
儿童游戏-宝宝**** com.doding.children****** 1万+
宝宝认知****游戏 com.yuyoogame.******gu1 1万+
宝宝****益智游戏 com.lhyy.wl.probaby**** 1万+
儿童游戏-****乐园 com.yuyoogame.****** 1万+
宝宝*** com.lhyy.children**** 1万+
宝宝游戏***达人 com.lhyy.wl.****** 1万+
宝宝游戏-儿童****钉 com.lhyy.children****** 1万+
儿童游戏-**世界 com.yuyoogame.****** 1万+
****乐园3 com.yuyoogame.ameng.**** 1万+
儿童游戏****拼图 com.lhyy.wl.****puzzle 1万+
儿童游戏-宝宝**** com.lhyy.children**** 1万+
……    

腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎基于应用的行为进行深度学习,能有效探测应用的可疑操作,很好的应对上述病毒应用采用的逃逸技术,目前已经率先支持查杀该木马家族。

图片1.png图片2.png

二、病毒详细分析

我们以 儿童拼图**拼图 样本为例,对“BlackBaby”木马的作恶行为进行详细分析。

2.1 病毒执行流程

1-dama.png

2.2  详细流程分析

应用启动时调起fmsd插件的InitSDK方法,会首先连接云端服务器获取配置信息;

1.png2.png

3-dama.png

云端返回的配置信息,其中子包主要有两个,分别为fmsd_sdk.jar 和 fmsd_sdk_standard.jar,并设置了子包在各渠道上是否下发;

13-dama.png

根据云端返回的结果和自身的渠道信息,决定是否下载恶意子包fmsd_sdk.jar 和 fmsd_sdk_standard.jar

11-dama.png12-dma.png

A、fmsd_sdk.jar子包设置隐藏广告界面,针对不同的广告平台,进行刷广告行为,消耗用户流量

2.png

1)、反射调用*** mobad的API接口进行刷广告

3.png

2)、反射调用g***的API接口进行刷广告

4.png

3)、使用自定义的webView加载广告url来刷德业广告

伪造请求,获取广告链接

4-dama.png

广告提供商返回的广告信息

5.png

解析返回的广告信息,使用自定义的webView加载广告

6.png7.png

4)、动态抓包获取的广告流量

7-dama.png8-dama.png

B、 fmsd_sdk_standard.jar子包静默Root用户手机、植入恶意elf模块

1)  Dex子包 fmsd_sdk_standard.jar 会从服务器 http://bnzx.*****61819 下载加密文件,并解密释放在应用的.um_ass目录,释放的文件libumeng.so是一个so文件,子包通过System.load() 加载so文件,并调用它的load_native()方法;

8.png

So文件libumeng.so会下载dex子包opa_link.jar ,通过JNI调用DexClassLoader将其动态加载,并将获得的ClassLoader返回给Java层;Java层再通过得到的ClassLoader加载目标类并调用其方法;

9.png

2)  opa_link.jar 恶意子包被调用后会链接服务器,上传设备相关信息,获取服务器返回的Root子包的相关数据10.png11-dama.png

加密传输的网络请求

14-dama.png

解密后的网络请求,我们可以清楚的看到,恶意子包将设备的恶意子包的版本信息、用户应用安装列表、运行包名、运行信息、以及(imei、imsi、osver、mac等)设备信息上传到服务器端;

12-dama.png

解密后的服务器返回数据,包含一些配置信息和root模块的下载url、入口类名、函数名等信息。

5.png

解析服务器返回的数据,获取Root模块的url、入口类名、函数名等信息

13.png

下载root子包,以md5+.jar重命名文件解密释放到应用的.lib/2001目录

14.png

根据下发的配置信息,加载并调起Root子包

16.png

3)  Root子包被加载调用后,会联网下载Root方案,对用户设备进行root

18.png

子包Root成功后,会链接云端服务器,下载、植入病毒相关的脚本和恶意elf文件到设备的系统目录,并进行长期潜伏。其中主要的恶意文件包括但不限于以下文件:

类型 功能 主要文件
恶意脚本 开机启动病毒模块 /system/etc/mocdinfo.sh /system/etc/install-recovery.sh /system/etc/install-cm-recovery.sh /system/bin/.install-recovery.no.sh
相关配置文件 存储相关配置信息和设备标识 /system/etc/.asks /system/etc/.chlres /system/etc/.zosie /system/etc/.uuidres /system/etc/.rac /system/etc/.rsd …
恶意elf文件 长期潜伏系统,以root权限运行; 与服务器进行通信,上传设备隐私信息; 下载安装应用,进行流氓推广行为 /system/xbin/cksxlbay /system/xbin/csbrislp /system/xbin/uixyeb /system/xbin/.run-us /system/xbin/oqlgo /system/xbin/qgvyjmr /system/xbin/zisjj /system/xbin/axhxb /system/xbin/wwmxb /system/xbin/culpxywg /system/xbin/paeoaki /system/xbin/csbrislp /system/xbin/togxzx ….

被植入恶意elf文件模块在后台运行,连接服务器,下载并静默安装恶意推广应用。恶意推广应用启动后,并以插屏、循环轮播的方式频繁弹出广告,严重影响用户手机正常使用。

19.png

三、病毒C2C相关信息和逃逸手段

C2C信息

URL 备注
http://apps****SDK.json 云端控制信息
http://apps.******SDK_DEX.jar fmsd_sdk.jar下载  
http://apps******DEX.jar fmsd_sdk_standard.jar下载
http://bnzx.******61819 加密so下载
http://zynb******Service
http://yznbt.******Service
服务器返回Root子包信息
http://ef328t.******.xjar 加密Root子包下载
……  

病毒隐匿技术和对抗手段:

1、将恶意功能的实现拆分到多个dex子包中,通过云端配置是否下发,可以绕过应用安装包检测和增加蜜罐分析的难度;

2、恶意行为隐藏在后台执行,躲过用户感知;

3、恶意子包加密传输,且使用自定义的字符串变形、加密,增大病毒分析的难度;

四、溯源信息

通过对相关信息溯源发现,该幕后黑手是位于天津的厂商

6-dama.png

五、安全建议和防范手段

随着Android生态的发展与完善,Android平台的恶意软件与杀软的对抗也日趋白热化,对抗手段不断升级,恶意软件制作者采取各种病毒逃逸技术,混淆、加密、动态加载、云端下发等,以期绕过杀毒软件的检测。针对日益升级的对抗,腾讯安全已推出自研AI反病毒引擎——腾讯TRP引擎,TRP引擎通过对系统层的敏感行为进行监控,掐住病毒软件的命脉,配合能力成熟的AI技术对应用行为的深度学习,能有效识别恶意应用的风险行为,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。

20.png

为尽可能的避免恶意软件的危害,我们也给用户提出了以下几条防护建议:

1、不要安装非可信渠道的应用;

2、手机上网时,不要随意点击不明URL链接和扫描安全性未知的二维码信息;

3、及时进行安全更新;

4、安装手机安全软件,实时进行保护。

六、附录

样本sha1

0efc20d54*****d1d97784

0aa152ad********afa5e73d9

30ef38d************1c0699cba3a3c

恶意子包sha1

c7e015972****476a68bb4

a60f8****ddfd292aa4

54aed2****09f1e23c

839fd****203fff04

恶意elf文件sha1

cccef575****b543a106

25e8e36****af84ac1

bca00c****f3a9761

83ea6****7eb8c0fb

9a891a1****d9f43ddfe

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM