前言

近日,某企业管理人员何某接到一个保险公司电话,对方告知何某他在保险公司报了理赔需要提供理赔资料,并且能准确报出何某的银行卡号。在何某声明自己未购买这个保险后,对方直接将何某的电话转接到了所谓“武汉公安局”的“警官”接听。

“警官”称何某涉嫌“洗黑钱”,要求其配合调查并问询了何某帐号及帐号金额情况。随后,“警官”建议何某找“检察院张主任”,并提供联系方式及微信,“检察院张主任”给何某发了一个“网页链接”,点开是“最高人民检察院”页面,输入所谓的“案件编号”后,出现了何某的“通缉令”,何某吓住了,只好配合办案。随后对方要求其下载“经济犯罪侦查局软件”做“金融建档”,实际上是木马病毒,用于实时窃取何某银行账号信息以及盗转资金。当天下午,按对方要求无论收到任何信息都不能打开、不能查网银,否则会影响“金融局”操作数据,实际上这是骗子在盗转资金。之后,“蒋检察长”及“金融局严科长”等诈骗份子通过各种威吓手段骗取何某前后共1115万元。

image001.jpg

受害者设备无法对网站以及APP下载,安装进行有效安全检测与提示

根据腾讯安全反诈骗实验室安全大数据显示,2018年以来仿冒公检法类恶意应用增长70%,相关钓鱼网站同比增加200%。仿冒公检法作恶团伙正在不断升级其作案手段,通过传统单点防御的方式将很难阻断诈骗黑产的针对性攻击,安全厂商以及手机厂商可以从仿冒公检法病毒的传播,落地,作恶的各个环节深度合作,层层设防,最大程度阻断电信诈骗。

一、仿冒公检法诈骗高速增长,受害群体呈现上升趋势

2018年Q2,Q3季度仿冒公检法病毒数量呈现上升趋势,Q2季度病毒数量增长70%

image002.png

2018年仿冒公检法病毒中毒用户呈先上升趋势,Q1、Q2季度中毒用户增长50%

image003.png

2018年 仿冒公检法网站访问量增加200%,受害人数量明显增长。

image004.jpg

二、仿冒公检法诈骗,低端手机更易中招,诈骗网站纷纷出海

仿冒公检法病毒影响的手机,偏重低端手机;受感染手机价格1000元以下占比34.44%,1000~2000元占比44.63% 。

image005.png

仿冒公检法的受害人区域分布TOP3:广东、江苏、福建。

image006.png

诈骗网站的服务器大都部署在境外,美国占比最高71% 。

image007.png

三、仿冒公检法诈骗病毒技术变迁趋势

随着移动互联网的高速发展,用户使用智能终端的时长、场景也越来越长且丰富,大部分黑产从业者为应对安全软件所做一些技术对抗企图逃避检测。

image008.png

四、仿冒公检法诈骗病毒检测方案

基于对仿冒公检法诈骗手段的深入了解,和与公检法诈骗黑产的持续对抗,腾讯反诈骗实验室积累了大量的诈骗网站、公检法诈骗病毒识别能力。

依此,腾讯反诈骗实验室针对仿冒公检法诈骗流程,提供一套完整的仿冒公检法诈骗检测方案,层层布防,帮助厂商更好的保障用户安全:

事前阻断–电话号码检测:基于海量手机号码黑库数据发现恶意通话劝阻受骗用户

事中拦截–URL网址检测:在浏览器打开前对URL网址链接页面内容属性检测

事后防御–下载应用检测:浏览器下载apk应用时,下载前把网址和apk信息做云查信息检测

image009.png

方案优势

在病毒检测方面,为应对未来严峻的安全挑战,腾讯安全立足终端安全,推出自研AI反病毒引擎——腾讯TRP引擎,TRP引擎通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对设备上各类应用的行为进行深度学习,能有效识别恶意应用的风险行为,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。

image010.png

而在网址检测方面,根据长期对黑产数据的监控和累积,腾讯反诈骗实验室每天能从互联网百亿级别的活跃网址中发现百万级别的欺诈网站,并形成活跃恶意网址库,截止目前,网址库里已有一亿条以上的各类欺诈、钓鱼网址信息。

在基于掌握这些亿级体量的黑产数据之后,腾讯反诈骗实验室形成了一套云管端的立体全景式防御体系:终端保护方面,主要针对包括QQ、微信、浏览器等腾讯的各种终端产品,会对恶意网址库里的网站做拦截,保护网民上网安全;在流量管道方面,通过和运营、公安部门合作,在运营商渠道对欺诈网站做拦截;云端,通过公有云和私有云解决方案,在接入的合作伙伴产品里对欺诈网站做风险提示。

目前接入腾讯网址安全云库的合作伙伴已达上百家,如苹果、华为、OPPO、VIVO、三星等。

五、安全建议

保护个人隐私信息,不轻易向他人透露个人信息

提高对陌生电话、短信的警惕性,勿轻信其中内容

二维码依旧是主要的染毒渠道之一,切勿随意扫码

安装使用腾讯手机管家等安全软件对手机进行安全检测,开启病毒库的自动更新服务(务必开启云查杀功能),第一时间拦截存在安全风险的应用安装

清理方案

手机用户可下载安装如腾讯手机管家一类的手机安全软件,定期给手机进行体检和病毒查杀,并及时更新病毒库。针对最新流行肆虐危害较大并且难以清除的病毒或者漏洞,可下载专杀工具及时查杀或修复。同时开启腾讯手机管家骚扰拦截功能,可有效拦截诈骗电话、短信,提升手机安全。 

image011.jpg

附录

仿冒公检法诈骗病毒样本Sha1:

e8734a5253****f856ab9517208

dfe07fa49f****cb841dd48daf7

db3968814f****b738c3f7c800f

da19e42708****a0511f4d70ca6

a0331964c3****3468cea16881d

27805d5e02****beb3e528546dc

15f8bd6c3c****faa3a10f6c38a

146aed84ab****0e971534e5754

0ae5d6a512****13c10534c41e6

3d9df99f8c****a4c9c27457163

仿冒公检法诈骗网址:

http://206.***34/0405361  

http://172.80.79.151 

http://104.221***/cgi-bin/Case_management/?action=2 

http://172.***94/login/ 

http://172.80.***/login/ 

http://45***.99/spp/ 

http://45.117.***/cgi-bin/spp/case_manager_mobile/?pageaction=0 

http://104.224.***/ajgl-index.asp 

http://45.63.***/index.php/w/home 

http://172.***119/cgi-bin/spp/jgsz/index.asp

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

一、概述

近期,腾讯反诈骗实验室自研的TRP-AI反病毒引擎捕获到一批大肆传播的Android后门木马病毒样本,此木马在用户设备上存在私自获取设备信息、后台频繁安装应用、后台发送短信等可疑行为。目前,腾讯手机管家客户端已全面查杀FakeSystem病毒家族,已深度集成腾讯TRP-AI引擎的魅族手机用户可以完美防御该家族病毒的入侵。

经过安全专家的分析,这批病毒样本属于“Fake System”木马家族的新变种,此木马家族的样本基本上都是以“Power”、“UI组件”、“SystemBase”、“进程管理”和“系统工具”等明显仿冒系统应用的软件名进行命名,最早的样本出现在2016年8月。“Fake System”木马病毒潜伏周期很长,使用了多种先进的“逃逸”技术来对抗杀软,并集成了三大主要的黑产变现手段以牟取灰色收益。

三大技术对抗技术:

1)静态检测技术逃逸:类名、方法名混淆成特殊符号,字符串隐藏未加密数组,每个类自动化生成不同的加密算法。

2)动态沙箱检测逃逸:18种设备状态监控,包括模拟器文件,xposed框架,ADB、Debugger和Usb连接状态等,全面识别非用户运行环境。

3)第三代云逃逸:将恶意功能剥离成payload文件并存储在云服务器,通过云端下发payload文件,在用户设备执行恶意功能代码.传统厂商很难捕获恶意代码进行检测。

三大黑产变现手段:

1)恶意推广应用:从云端获取应用推广任务,对不同用户推广ROM内和ROM外应用。

2)恶意扣费短信:从云端获取扣费短信任务,操控中毒设备发送扣费短信。

3)广告作弊刷量:多广告平台,多种类型广告支持刷量,模拟广告的拉取,点击,下载,安装等数据上报。

二、木马影响面

根据腾讯反诈骗实验室大数据引擎数据显示,近一个月时间里,“Fake System”木马新变种的感染用户增长迅猛,在过去一个月的时间里,几个新变种的感染用户都迅速增长到20万左右,与此同时总体“Fake System”木马的感染用户也大幅增长,影响近百万用户。

1.png

木马感染用户系统版本分布

2.png

腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎基于应用的行为进行深度学习,能有效探测应用的可疑操作,很好的应对上述木马采用的逃逸技术,目前已全面支持查杀该木马家族。

3.png

三、木马应用详细分析

“Fake System”木马的主要传播途径有:通过色情和游戏应用进行传播;通过木马老样本的进行传播;地下刷机渠道等方式。

我们以新捕获的样本“UI”组件,对“FakeSystem”木马的作恶行为进行详细分析。

3.1 样本基本信息

应用名:UI组件

包名:dozx.wkkv.szzd.njag

证书:8c2b3fbd6fe808f0b67801ecf64f1c02

4.png

恶意行为流程图:

5.png

主要访问URL:

  设备注册 http://106.**.**.81/ad/api/sdklog.php http://123.**.**.38/main/api/sdklog.php http://106.**.**.110/main/api/update.php
JAR包更新 http://106.**.**.83/ad/api/update.php http://123.**.**.196/main/api/update.php http://106.**.**.110/main/api/update.php
任务获取 http://106.**.**.105/main/api/data.php
运行事件上报 http://106.**.**.26/main/eventlog/adlog.php
GDT刷量插件更新 http://123.**.**.196/gt/content/upd.php

3.2 样本编码特征

恶意应用从早期的样本开始就采用了很强的代码混淆技术。

1、将核心代码的类名、方法名混淆成各种特殊符号。

7.png

2、针对每个类,自动化生成不同的字符串替换加密算法,对所有的字符串信息进行加密处理,加大了病毒样本分析的难度。

8.png

3.3 恶意木马功能分析

3.3.1 木马应用主框架

木马应用启动后,主要完成以下几个动作:

1、监控设备环境;

2、连接CC服务器,注册设备;

3、设置触发器任务,并设置重复定时任务,间隔一定时间拉起触发器任务。

9.png

1)监控设备环境

应用Monitor.start()方法中对18种设备状态进行监控,包括对一些虚拟机文件,xposed框架,ADB、Debugger和Usb连接状态等信息进行监控,主要用于识别木马应用的运行环境,避免在蜜罐和试验环境中触发恶意行为。

10.png

2)设备注册

应用的MainAction.register()方法中会连接CC服务器,请求注册设备,将设备的基本信息如imei、imsi、brand、mac、系统版本、内核版本等信息,以及监控到的设备环境信息post到服务器,服务器则返回对应的注册结果。

11.png

12.png

post请求参数:

13.png

注册请求返回结果,可以看到返回的结果主要有注册设备的ID、注册时间,kickoff、api版本、uidpush时间等,这些参数会用到后续的与服务器链接的其他请求中。

14.png

从返回数据中可以看到,测试设备获取的uid为32357573,每台设备注册后会被分配一个唯一的uid,排除一些无效的设备注册请求情况,可以推断出此后门木马曾感染的设备也达到了很大的量级。

3)触发器任务

应用会设置触发器,通过设置定时任务来拉起。触发器任务会去动态加载执行Jar包,若应用运行达到一定时间,则会链接服务器,请求更新jar包。

15.png

更新请求post的参数与注册请求类似,多了uid、reg、uidpush等参数。若服务器校验成功,则下发更新后的Jar包。

16.png

17.png

解析更新请求返回内容,校验并存储Jar包到应用files目录。

18.png

JarLoader动态加载执行Jar包,Jar包的入口类为com.a.l.g.a,入口函数为b。

19.png

21.png

3.3.2 Jar包Analys.jar

analys.jar的主要功能有:

1、Root用户设备;

2、链接CC服务器,获取任务列表,包括应用推广任务和短信扣费任务;

3、上报运行信息;

4、动态加载其他恶意子包。

a)Root用户设备

jar包运行后会检测自己是否已经被安装在设备rom内,若没有安装在设备rom内,则会去尝试root用户设备。

22.png

根据设备信息,选择不同的exp进行root:

23.png

主要使用到的相关exp列表:

24.png

b)获取任务

应用连接服务器,请求任务:

25.png

任务请求url:

26.png

解析返回数据,获取任务信息,任务信息主要包括设置下线时间、是否自毁、替换系统debuggerd、Rom内APK下载安装任务和普通APK下载安装任务。

27.png

InstallTask任务包括APK的下载链接、包名、launch入口、是否安装到Rom内等信息。

28.png

普通APK的下载成功后使用pminstall命令安装,而ROM内APK下载成功后,使用cat命令将应用拷贝到设备的系统目录。

普通应用安装:

29.png

ROM内应用安装:

30.png

应用拉起:

31.png

根据腾讯大数据关联分析,“Fake System”木马恶意推广的应用数量庞大,其中ROM应用主要是木马的其他病毒样本,通常“Fake System”木马会在感染用户设备上安装多个不同的病毒样本,确保对感染设备的控制;而木马在普通类APK的推广上范围十分广泛,涉及多种类型的应用。木马私自下载安装的应用主要有:

32.png

同时,应用也会获取扣费短信任务,并根据设备的情况选择不同的短信发送方式来发送扣费短信。

33.png

短信发送方式

1、普通发送:

34.png

2、反射发送:

35.png

3、注入发送:

36.png

通过注入so的方式对系统的短信管理器com.android.mms进行注入,绕过安全限定进行发送短信。

37.png

c)上报运行信息

运行一段时间后,应用会将相关的运行信息上报给服务器。

RootEvent信息列表,主要事件有Root相关、短信扣费相关、应用推广相关事件的执行情况。

38.png

获取事件list并使用post请求上报:

39.png

上报Url:

40.png

d)动态加载广告刷量插件

应用会动态加载和更新广告刷量插件,针对多家广告平台进行广告刷量作弊行为。

41.png

动态加载调用广告刷量插件,插件的入口类为e.g.g.e.Bridge,入口函数为dispatch。

42.png

43.png

3.3.3 广告刷量插件

广告刷量插件修改多家广告平台的SDK,伪造广告请求,进行恶意的广告刷量行为。

a)破解协议,伪造广告请求

针对广告平台A,修改广告SDK,伪造请求进行插屏广告和banner广告刷量。

插屏广告:

44.png

45.png

Banner广告:

46.png

47.png

b)后台广告自动点击

针对广告平台B刷量:

48.png

49.png

针对广告平台C刷量:

50.png

四、总结和防护建议

“Fake System”木马应用仿冒系统应用的软件名,且没有图标、恶意行为对普通用户来说感知较弱,具有很强的隐蔽性。此木马功能强大,用户设备一旦感染,即会成为黑产分子控制的“肉鸡”,沦为黑产分子进行应用推广、短信扣费、广告刷量的工具。

针对普通用户如何避免受此木马的侵害,我们对给出了如下防护建议:

1、不要安装非可信渠道的应用、不要随意点击不明URL链接和扫描安全性未知的二维码信息;

2、及时对设备进行安全更新;

3、安装腾讯手机管家等安全软件,实时进行保护;

4、若发现手机感染木马病毒,请及时使用安全软件进行清理,避免重复交叉感染。

另一方面,如今黑产分子利用手中控制的“肉鸡”进行恶意广告刷量等活动日益猖獗,对各大广告平台和广告主带来了很大的负面影响和经济损失。腾讯反诈骗实验室一直致力于打击黑产,对抗诈骗/欺诈,并在黑产对抗、恶意代码识别、黑产团伙打击方面有很深厚的技术、数据积累。针对恶意应用的广告刷量行为,腾讯反诈骗实验室结合自身终端感知能力、覆盖能力以及对黑产设备、从业者信息积累等优势,向广告平台、广告主提供【移动互联网流量反欺诈解决方案】。广告平台、广告主可通过腾讯广告反欺诈服务对当前营销、推广整体状况进行有效评估,可准确、有效评估各渠道流量质量, 对欺诈流量进行精准打击,防止不必要的推广成本付出。

*本文作者腾讯手机管家,转载请注明来自FreeBuf.COM

序言

病毒木马的演变史,就是一部互联网黑产演变史。病毒木马从最初的以炫技为目的,逐步过渡到与利益相关:哪里有流量,哪里能够获利,哪里便会有黑产聚集。

2018年,伴随移动应用的影响力超过电脑应用,主要互联网黑产也迁移到手机平台。腾讯安全反诈骗实验室观测数据表明,以持续多年的暗扣费黑产、恶意移动广告黑产、手机应用分发黑产、App推广刷量黑产为典型,这些移动端的互联网黑产,给用户和软件开发者带来了巨大的经济损失。

同时,2018年是区块链大年,几乎所有的新兴产业,都绕不开区块链这个关键词。与之相应,2017年下半年至今,互联网病毒木马的主流也都围绕区块链、比特币、以太坊、门罗币而来。由于比特币具备交易不便于警方追查的特性,全球范围内的黑市交易,大多选择比特币充当交易货币。由比特币等数字货币引发的网络犯罪活动继续流行,挖矿木马成为了2018年影响面最广的恶意程序。对于挖矿而言,除了大规模投入资本购买矿机自建矿场,黑产的作法是控制尽可能多的肉鸡电脑组建僵尸网络进行挖矿。而僵尸网络除了可以挖矿牟利,控制肉鸡电脑执行DDoS攻击也是历史悠久的黑产赢利模式之一。

为此,腾讯安全联合实验室整理了2018年上半年互联网黑产攻击数据和发展现状,分别从移动端和PC端两个方面详细解读黑色产业链的具体特征、攻防技术和发展态势,为大家揭开互联网黑产的面纱。

一、移动端黑产规模宏大,恶意推广日均影响用户超千万

2018年上半年,手机病毒类型多达几十种,大部分病毒都属于资费消耗、恶意扣费和隐私获取这三种类型,占比分别为32.26%、28.29%和20.40%。此外,手机病毒的功能日益复杂化,一款病毒往往兼具多种特性和恶意行为。4月初腾讯TRP-AI反病毒引擎曾捕获一款名为“银行节日提款机”的恶意木马,伪装成正常的支付插件,在用户不知情的情况下,私自发送订购短信,同时上传用户手机固件信息和隐私,给用户造成资费损耗和隐私泄露。

1.四大主流黑产链条

1.1 暗扣话费黑产:日掠夺千万的“抢钱”产业链

暗扣话费是非常古老的互联网黑产。大部分用户会预充值一些话费用于支付套餐的消耗,平时也很少再关注话费,实际上,这些预存的话费余额还可以用来订阅各种增值服务。移动黑产正是利用这一点,串通利益共同体一起窃取用户话费余额并牟取暴利。

据腾讯安全反诈骗实验室数据显示,每天互联网上约新增2750个左右的新病毒变种,伪装成各种打色情擦边球的游戏、聊天交友等应用诱导用户下载安装。此类手机恶意应用每天影响数百万用户,按人均消耗几十元话费估算,日掠夺话费金额数千万,可谓掘金机器。受暗扣话费影响的最多的省份有广东、河南、江苏等地。

腾讯安全反诈骗实验室研究发现,此类黑产以稀缺的SP提供商为上游,SDK根据掌握的不同SP资源开发相应的SDK,并将这些SDK植入到伪装成色情、游戏、交友等容易吸引网民的应用中。实现暗扣话费变现后,利润通过分成的方式被整个产业链瓜分。此类黑产核心的扣费SDK开发团队大概有20家左右,主要分布在北京、深圳、杭州等地。

据腾讯安全反诈骗实验室观测,暗扣话费的手机恶意软件的影响近期又呈增长之势。

1.2 广告流量变现:九大家族控制数百万广告流量牟取暴利

当前中国网民对手机应用中广告的态度整体较为宽容,国内消费者为应用付费的习惯尚待养成,正规的软件开发者同样需要通过广告流量来获利收益。然而,某些内置于各类应用中的恶意广告联盟,主要通过恶意推送广告进行流量变现的形式来牟利,平均每天新增广告病毒变种257个,影响大约676万的巨大用户群。这些恶意广告联盟推送的广告,内容更加无底线,在某些时候突然推送出色情擦边球应用、博彩甚至手机病毒也不足为奇。

腾讯安全反诈骗实验室的监测数据表明,越是经济发达的地区,恶意广告流量变现的情况也越发严重。珠三角、长三角、京津冀遭受恶意广告流量的影响远大于全国其他区域。

1.3 手机应用分发黑产:沉默但不简单的地下软件分发渠道

在应用市场竞争日益激烈的情况下,软件推广的成本也在升高。一些初创公司较难在软件推广上投入大量成本,部分厂商便找到了相对便宜的软件推广渠道:通过手机应用分发黑产,采用类似病毒的手法在用户手机上安装软件。据腾讯安全反诈骗实验室监测数据显示,软件恶意推广地下暗流整体规模在千万级上下,主要影响中低端手机用户。例如部分用户使用的手机系统并非官方版本,经常会发现手机里莫名其妙冒出来一些应用,这就是地下软件黑产的杰作。

通过手机恶意软件后台下载推广应用,是手机黑产的重要变现途径。腾讯安全反诈骗实验室的研究数据表明,手机恶意推广的病毒变种每天新增超过2200个,每天受影响的网民超过1000万。

1.4 App刷量产业链:作弊手段骗取开发者推广费

为了将自己开发的手机应用安装在用户手机上,软件开发者会寻找推广渠道并为此付费。一部分掌握网络流量的人,又动起歪脑筋:利用种种作弊手段去虚报推广业绩,欺骗软件开发者。根据腾讯安全反诈骗实验室对App刷量产业链的研究,该产业链主要有三个阶段:

第一阶段:机刷时代(模拟刷、群控)

前期通过模拟器模拟出大量手机设备伪装真实用户,随着对抗后期则主要通过购买部分真实手机设备通过群控系统来实现。模拟器易被检测,群控规模有限,加上开发商对抗技术的升级,该模式逐渐没落,刷量产业和开发者也处于长器的博弈之中。

第二阶段:众筹肉刷

常常以手机做任务就可以轻松赚钱为噱头吸引用户入驻平台,用户可以通过APP提供的各种任务来获取报酬,比如安装某个应用玩十分钟可以获取一块钱。然而这些平台由于失信太多,骗用户做任务又不愿意付费,导致愿意参与此类游戏的网友数量越来越少,模式已逐渐消亡。

第三阶段:木马技术自动刷量

人工刷量需要大量的真实用户帐号,或者较多的设备,还得人肉操作,导致效率较低。2018年有一批聪明的开发商已经开始布局木马自动刷量平台。木马SDK通过合作的方式植入到一些用户刚需应用中进行传播,然后通过云端控制系统下发任务到用户设备中自动执行刷量操作。

2.三大新兴攻击手段

2.1 黑产利用加固技术进程在加速

加固技术开发的本来目的是用于保护应用核心源代码不被窃取,随着病毒对抗的不断提升,越来越多的病毒应用开始采用加固来保护自己的恶意代码不被安全软件发现。

目前国内外有很多成熟的加固方案解决厂商,这些厂商存在很多先进的加固技术和较完善的兼容性解决方案,但是这些方案解决商的这些优点正成为黑产很好的保护伞。根据腾讯安全反诈骗实验室的数据显示,进入2018年以后利用这些知名加固解决方案的病毒应用正在快速增加。

从病毒家族的维度看,社工欺诈类、恶意广告类、色情类、勒索类等对抗更激烈的病毒家族更喜欢使用加固技术来保护自己。

2.2 黑产超级武器云加载进入3.0时代

随着恶意应用开发商与安全厂商的攻防日趋激烈和深入,恶意软件的开发者倾向于使用将恶意代码隐藏在云服务器并采用云端控制的方式下发恶意功能,最终通过本地框架进行动态加载来达到最佳隐藏恶意行为的效果,云加载技术是目前对抗传统安全软件最好的对抗手段。

根据腾讯安全反诈骗实验室大数据显示,目前使用动态加载技术的应用中,接近一半都是病毒。云加载技术正在成为病毒开发者最喜欢的攻击手段,色情、恶意应用分发、游戏暗扣等最赚钱的病毒家族,普遍标配云加载攻击技术来实现利益最大化。

该技术在病毒黑产中的作恶特点是:剥离恶意代码封装成payload,客户端上传特定的信息流交由云服务器控制是否下发执行payload功能,下发的代码最终在内存中加载执行,恶意代码可及时清理并保证恶意文件不落地,防止传统安全客户端感知。腾讯安全专家把这种利用技术成为“云加载”技术。

近年来,随着开发人员对Android系统架构和动态加载技术的理解的深入,各种代码热更新方案和插件化框架被发明并且免费开源,为病毒技术开发者实施云控作恶提供了技术基础,云控技术已经成为绝大多数高危木马的标配,腾讯安全反诈骗实验室近期也发现了若干使用云控技术的病毒家族。

云加载技术目前已经更新到3.0版本,该版本框架病毒开发者不仅可以通过地域、运营商、机型、设备等维度限制感染用户群,还能利用VA等虚拟加载技术彻底剥离恶意代码,通过一个白框架来按需加载扩展各种恶意功能,普通安全厂商很难再捕获到病毒的恶意行为。

2.3 黑产渗透更多的供应链,供应链安全风险加剧

回顾整个Android应用供应链相关的重大安全事件可以发现,针对供应链攻击的安全事件在用户影响、危害程度上绝不低于传统的恶意应用和针对操作系统的0day漏洞攻击,腾讯安全专家研究发现针对Android应用供应链的攻击的呈现以下趋势:

1)针对供应链下游(分发环节)攻击的安全事件占据了供应链攻击的大头,受影响用户数多在百万级别,且层出不穷。类似于XcodeGhost这类污染开发工具针对软件供应链上游(开发环境)进行攻击的安全事件较少,但攻击一旦成功,却可能影响上亿用户。

2)第三方SDK安全事件和厂商预留后门也是Android供应链中频发的安全事件,这类攻击大多采用了白签名绕过查杀体系的机制,其行为也介于黑白之间,从影响用户数来说远超一般的漏洞利用类攻击。

3)从攻击的隐蔽性来讲,基于供应链各环节的攻击较传统的恶意应用来说,隐蔽性更强,潜伏周期更久,攻击的发现和清理也都比较复杂。

4)针对供应链各环节被揭露出来的攻击在近几年都呈上升趋势,在趋于更加复杂化的互联网环境下,软件供应链所暴露给攻击者的攻击面越来越多,并且越来越多的攻击者也发现针对供应链的攻击相对针对应用本身或系统的漏洞攻击可能更加容易,成本更低。

二、PC端黑色产业链日趋成熟,攻击更加精准化

1.勒索病毒解密产业链,对企业及公共机构造成严重威胁

2018年,大量企业、政府机关和公共服务机构由于遭遇勒索病毒,生产系统数据被加密破坏,重要业务系统陷入崩溃。勒索病毒攻击者利用各种手段尝试入侵重要机构网络系统,例如通过弱口令漏洞入侵企业网站,再将企业Web服务器作为跳板,渗透到内网,然后利用强大的局域网漏洞攻击工具将勒索病毒分发到内网关键服务器,将企业核心业务服务器、备份服务器数据加密。

病毒一旦得手,企业日常业务立刻陷于崩溃状态,关键业务因此停摆。如果企业网管发现连备份系统也一样被破坏了。那基本只剩下一条路:缴纳赎金。众所周知,勒索病毒的加密技术是高强度的非对称加密,除非得到密钥,解密在理论上都是不可能的。正因为如此,腾讯御见威胁情报中心监测发现了这个不为人知的奇葩产业链:勒索病毒解密产业链。

该产业链的从业者甚至通过购买搜索引擎关键字广告来拓展业务。

当受害企业寻求解决办法时,正规的安全厂商往往会回复,“没有备份数据就找不回来了”。而受害企业通过互联网上的方法寻找到的解密服务商,这些人充当了受害企业联系勒索病毒传播者的中介,相对受害企业,更熟悉虚拟数字币的交易,在一番讨价还价之后,代理受害企业买回解密密钥,从而解密数据。某些情况下,亦不能排除负责解密的中介机构,是否和勒索病毒传播者之间存在某些联系。

除此之外,勒索病毒传播链本身也有专业分工,有人负责制作勒索病毒生成器,交给有网站资源的人分发,各方参与利益分成。

2.控制肉鸡挖矿产业链,游戏外挂成挖矿木马“重灾区”

去年年底,温州市区一家公司的网站被恶意攻击,网警梳理线索时,发现犯罪嫌疑人徐某有重大嫌疑,经过调查,警方果然发现一个利用漏洞安装挖矿木马的犯罪团伙。该团伙有12名成员,利用漏洞攻击别人电脑,获利控制权之后,植入挖矿木马。专案组查明,这一团伙共租赁20余台服务器远程控制了5000余台“肉鸡”,非法挖矿1000余枚门罗币等数字货币(价值约60余万元)。

无独有偶,2017年底,腾讯电脑管家通过安全大数据监测发现,一款名为“tlMiner”的挖矿木马在2017年12月20日的传播量达到峰值,当天有近20万台机器受到该挖矿木马影响。此次发现的“tlMiner”挖矿木马,植入在“吃鸡”游戏(steam版绝地求生)外挂“吃鸡小程序”中。由于“吃鸡”游戏对电脑性能要求较高,黑产团伙瞄准“吃鸡”玩家、网吧的高配电脑,搭建挖矿集群。

腾讯电脑管家团队立即配合守护者计划将该案线索提供给警方,协助山东警方于2018年3月初立案打击“tlMiner”木马黑产。据分析,“tlMiner”木马作者在“吃鸡”游戏外挂、海豚加速器(修改版)、高仿盗版腾讯视频网站(dy600.com)、酷艺影视网吧VIP等程序中植入“tlminer”挖矿木马,通过网吧联盟、QQ群、论坛、下载站和云盘等渠道传播。

腾讯电脑管家安全团队继续加深对挖矿木马黑产链条的研究,协助警方深挖,进一步分析挖掘到木马作者上游:一个公司化运营的大型挖矿木马黑色产业链。4月11日,警方在辽宁大连一举查封该挖矿木马黑产公司。

该公司为大连当地高新技术企业,为非法牟利,搭建木马平台,招募发展下级代理商近3500个,通过网吧渠道、吃鸡外挂、盗版视频软件传播投放木马,非法控制用户电脑终端389万台,进行数字加密货币挖矿、强制广告等非法业务,合计挖掘DGB(极特币)、HSR(红烧肉币)、XMR(门罗币)、SHR(超级现金币)、BCD(比特币钻石)、SIA(云储币)等各类数字货币超过2000万枚,非法获利1500余万元。

3.DDoS攻击技术不断演进,团伙作案趋势明显

DDoS攻击在分工上由工具开发者向人员多维化发展,也出现了技术、销售、渠道等分工,在DDoS攻击产业链中一般称为接发单人、担保商、肉鸡商、攻击软件开发人员等。随着DDoS的新技术不断的被挖掘出来,DDoS攻击正在规模化、自动化、平台化的发展。由于DDoS在技术与平台上始终是站在互联网的最前沿,往往我们看到一个峰值的出现,便是互联网的一场灾难。

每一个攻击类型的出现或每一个攻击类型的技术的更新,都是一场攻击者的狂欢,例如今年的Memcached反射放大攻击,不仅仅在技术上达到了5万倍的反射放大效果,而且在流量上更是达到了1.7Tbps的峰值效果。

1)DDoS的攻击类型

SYNFlood做为早期的攻击类型,占比近20%,主要原因是其攻击效果有良好的穿透力,无论是在攻击服务器,还是中间的基础网络设施上,都能在到良好的效果。

同样UDP Flood以其数据包构造灵活的特点仍占有大量比重。占比最大的是排名第一的反射放大攻击(占比60%),反射放大以其攻击成本小、构造发包简单、反射倍数高、在自动化平台后端调用方便等特点,成为流量攻击中的首选。

在流行的DDoS攻击类型占比统计中,以IoT设备为反射源的SSDP反射放大已连续几年都占比最高,今年的一支新秀Memcached反射也没有盖过其占比的锋芒。

因为攻击手法的增多,DDoS攻击效果立竿见影,利用DDoS进行勒索、攻击竞争对手的情况越来越普及;催生了DDoS黑色产业链越来越细化,除发单人、担保商、黑客软件作者外,又增加了肉鸡商、接单人、资源提供者、接发单平台几个维度。

在巨大经济利益面前,DDoS攻击黑产在多个环节逐渐完成自动化,使整个链条无需人工参与,发单人直接在DDoS平台下单,我们称这样的平台为“页端DDoS攻击平台”。

“页端DDoS攻击平台”包括用户注册、套餐付费、攻击发起等一系列操作,且在用户侧都可以完成,不需要其他人员参与。页端DDoS攻击平台在发起攻击时,是以API形式调用发包机或支持API的C2服务器进行攻击,延迟时间一般小于10秒;对比传统DDoS 攻击来看,已完成了全自动的无人值守攻击方式。页端DDoS攻击平台其高度集成管理,在成单率、响应时长、攻击效果等方面都得到了可行的解决。

在平台化外,DDoS攻击类型也有长足的发展。例如IoT(物联网)僵尸网络的典型代表mirai针对互联网基础架构服务提供商Dyn DNS(如今的Oracle DYN)进行功击。今年3月份的Memcached反射更是一剂强心针,以5万的反射放大倍数、1.7Tbps的流量峰值再一次刷新了DDoS的认知。

2)DDoS攻击典型案例–“暗夜”攻击团伙案

DDoS攻击黑产会严重影响企业线上业务开展,腾讯云鼎实验室曾配合公安机关破获暗夜DDoS攻击团伙案,该团伙攻击对某客户的游戏业务产生严重影响,玩家访问缓慢,登录掉线,甚至完全没有响应。

腾讯云鼎实验室根据系统日志判断为大流量持续DDoS攻击,单日攻击流量峰会达462G,该团伙掌握的DDoS攻击资源十分庞大。腾讯云鼎实验室通过努力,最终在该团伙控制的其中一台C2服务器发现可疑线索,通过流量、日志、关联等多维度的数据分析,最终定位到证据所在,公安机关根据这些信息在境外将暗夜DDoS黑产团伙一网打尽。

三、互联网黑产对抗的技术趋势与实践

1.人工智能成移动端黑产对抗技术突破口

移动黑产以趋利为目的,为了保护自己的利益,黑产从业人员会想尽一切办法来隐藏自己,与安全厂商之间的对抗也愈发激烈。根据多年积累的对抗经验,腾讯安全团队认为移动黑产对抗技术发展主要有以下几个方向:

1)立体式安全检测体系

从应用传播、应用安装、应用运行、应用变现等维度,将各种安全检测手段融入到应用的不同生命周期。如接入URL安装检测引擎可以在下载阶段即可阻断恶意行为继续,又如行为检测引擎可以在病毒执行敏感操作时候及时阻止避免进一步破坏操作。

2)用户端侧的主动防御

安全厂商使用的传统静态引擎由于缺乏真实的行为数据,黑产团伙很容易就可以突破其防线。不管黑产采用多少种先进的对抗手段,其最终的目的还是通过执行恶意行为来实现牟利的目的,手机厂商通过系统层原生集成应用敏感行为检测点,真实的捕获到恶意行为。数据脱敏以后可以辅助深度学习等方法实现更快,更准确的检测效果。

3)引入人工智能算法,智能识别未知样本

传统杀毒引擎从病毒的发现到检出会存在一段时间的空窗期(比如样本的收集)。安全研究人员可以将丰富的人工经验,通过深度学习技术,泛化成通用的病毒检测模型,提升未知病毒的检出能力。

腾讯安全团队基于第三种思路研发的腾讯TRP-AI反病毒引擎已经在腾讯手机管家云引擎中得到应用,并且该技术通过深入集成的方式在魅族Flyme7系统中率先全面应用。集成TRP反病毒引擎的系统新病毒发现能力提升8.3%,新检出病毒中使用云加载技术的占比60.1%,使用加固加壳技术的占比12.%,并且病毒平均潜伏期为35min。

2.化被动为主动的PC端黑产对抗技术

伴随互联网产业的加速发展,PC端黑产技术也在不断进化。为了最大限度获利,黑产会尽可能在用户电脑驻留存活更长时间。同时,2018年区块链的火爆令加密山寨币迅速成为黑色产业地下流通的硬通货,通过挖矿获取山寨虚拟加密币,使得黑产变现链条更加直接。为了更好地狙击PC端黑产,安全厂商的对抗技术主要包括以下方面:

1)更快速的安全漏洞响应机制

安全漏洞始终是网络攻击的绝佳通道,0day漏洞往往被应用在高价值目标的精准攻击上。2018年“永恒之蓝”漏洞攻击包被经常提起,这个武器级的漏洞攻击包在被黑客完全公开后,一度被黑产广泛使用,成为入侵企业网络、传播勒索病毒,植入挖矿木马的利器。

网络黑产可以在极短的时间内将Windows已经发布补丁的高危漏洞迅速利用起来,然而,目前仍有大部分的网民因为使用盗版系统等种种原因,补丁安装率普遍不高。这种现状使得漏洞攻击工具在补丁发布之后很长时间,都大有用武之地。杀毒软件更新补丁修复功能,对于帮助这类用户排除干扰,修补系统漏洞起到了关键作用。

对于一些突然爆发的0day漏洞,也需要安全软件进行提前防御。2018年,Office公式编辑器漏洞和Flash 0day漏洞是黑产利用最广泛的攻击武器,利用此类漏洞进行攻击,用户打开一个Office文档或浏览一个网页也可能立即中毒。腾讯电脑管家针对攻击者的这一特性集成“女娲石”防御技术,可以让电脑在即使遭遇部分0day攻击时,也能够实现有效拦截。补丁修复方案的升级,让腾讯电脑管家用户电脑的漏洞修复率大幅上升,黑产作案的技术成本也明显提升。

2)对抗勒索病毒破坏的数据备份机制

2017年,以WannaCry为首的勒索病毒采取相对盲目的广撒网式破坏,却并未因勒索病毒的广泛传播而取得足够的经济回报:绝大多数的普通用户在遭遇勒索病毒攻击之后,放弃了缴纳赎金解锁数据,而是选择重装系统。对于网络黑产来说,这类广撒网式攻击损人不利己,攻击者开始转向针对高价值目标的精确打击。通过系统漏洞、社会工程学欺骗、精心设计的钓鱼邮件来诱使目标用户运行危险程序。

然而,勒索病毒的感染量下降了,勒索病毒造成的损失却依然严重:许多重要信息系统被勒索病毒破坏,受害者被迫支付赎金。面对勒索病毒越来越精准的打击,高价值用户需要更加完善的数据保护方案,腾讯电脑管家迅速升级“文档守护者”功能,通过充分利用用户电脑冗余的磁盘空间自动备份数据文档,既使电脑不幸染毒,数据文档被加密,也能通过文档守护者来恢复文档,尽最大可能减小损失。

3)能够揭示黑产全貌的威胁情报系统

为逃避杀毒软件的查杀,病毒木马的行为变得更加隐蔽,病毒样本的更新、木马控制服务器的变化的速度都比以往更快,部分攻击者甚至会限制恶意程序扩散的范围,黑产的攻击正在变得愈发难以捕捉和缺少规律性。

腾讯御见威胁情报系统基于安全大数据分析的处理系统,通过分析成千上万个恶意软件的行为并创建一系列的规则库,再利用这些规则去匹配每个新发现的网络威胁,像完成一幅拼图一样,将一个个分散的病毒木马行为完整拼接,从中发现木马病毒的活动规律,追溯病毒木马传播的源头。2018年,腾讯御见威胁情报系统已成功协助警方破获多起网络黑产大案,成为打击黑产的有力武器。

四、2018年下半年的安全趋势分析

1.MAPT攻击威胁持续上升,移动设备或成重大安全隐患

2018年随着互联网+进程的不断推进,通过智能设备我们可以享受到非常便捷的移动互联网服务,如移动医疗服务,社保服务,电子身份证,电子驾照等政府贴心的民生服务。同时也有大量的企业和政府部门开始习惯通过智能终端来管理内部工作,这些基于智能手机的服务方便大众的同时,也暴露出巨大的安全隐患:移动互联网时代的智能手机承载着全面而巨量的个人和组织的隐私数据,一旦个人智能手机被操控,黑客团伙通过这个设备获取到各种敏感数据,从而导致不可估量的损失。

虽然目前主流关于APT的讨论仍集中于PC电脑,但是趋势表明APT攻击组织正在往网络军火库中添加MAPT(Mobile AdvancedPersistent Threat)武器以获得精准而全面的信息。比如APT-C-27组织从2015年开始更新维护基于安卓的RAT工具,利用这些工具来收集用户手机上的文档、图片、短信、GPS位置等情报信息。Skygofree会监控上传录制的amr音频数据,并尝试root用户设备以获取用户whatsapp.facebook等社交软件的数据。Pallas则全球部署试图攻击包括政府、军队、公用事业、金融机构、制造公司和国防承包商的各类目标。

全平台覆盖加上国家级黑客团队攻击技术的加持,无边界智能办公时代被忽视的移动智能设备正在成为重大安全隐患,MAPT正在威胁企业,重点机构乃至政府部门。它们需要拥有移动/PC一体化反APT安全解决方案。

2.恶意应用的检测和反检测对抗将愈发激烈,安全攻防进入焦灼局势

黑产团伙对抗技术日趋完善,安全攻防进入焦灼局势,并且传统安全监测方案正在逐渐处于劣势的一方。一方面在巨大利益的驱使下企业化运作的黑产团伙有更多的财力开发基于云加载技术的恶意应用(恶意代码变得很难捕获),并且有充沛的人力进行免杀对抗(传统引擎基于特征检测,很容易被免杀绕过)。另一方面一些供应链的厂商也在知情或不知情的情况下成为黑产团伙的保护伞,在自己的框架中引入包含恶意功能的SDK,导致有大量的恶意应用潜伏一年甚至数年才被新技术手段发现。

3.黑产团伙拓宽安卓挖矿平台市场,移动挖矿应用或迎来爆发

相比电脑平台,移动智能设备普及率高,使用频率极高,但是移动设备受限于电池容量和处理器能力,而且挖矿容易导致设备卡顿、发热、电池寿命下降,甚至出现手机电池爆浆等物理损坏,移动平台似乎并不是一个可用于可持续挖矿的平台。

随着移动设备性能不断提升,2018年黑产团伙还在尝试利用手机平台生产电子货币。比如HiddenMiner潜伏于三方应用市场诱导用户下载,然后控制用户手机设备窃取Monero,又如ADB.Miner通过端口扫描的方式发现基于安卓的TV设备进行挖矿,还发现过多起Google play官方应用市场应用包含挖矿恶意代码的事件,这些事件的不断发生预示这黑产团伙正在拓宽安卓挖矿平台市场。

4.勒索病毒攻击更加趋向于精准化的定向打击

御见威胁情报中心监测发现,勒索病毒正在抛弃过去无差别的广撒网式盲目攻击,而是转向高价值的攻击目标进行精确打击。攻击者利用系统漏洞或精心构造的钓鱼邮件入侵企业网络,渗透到企业内网之后,选择最有可能敲诈成功的高价值数据来加密勒索

2018年上半年较多的教育机构、医疗机构、进出口贸易企业、制造业等高价值目标的计算机系统被勒索病毒攻击,这一趋势正变得日益明显。同时,这意味着高价值目标需要加强安全防护,特别重要的是做好系统漏洞修补和关键业务数据的备份。

5.挖矿病毒比重明显增大,手段更加隐蔽

挖矿病毒正在成为最常见的病毒类型,因为区块链相关产业的火爆,各种流行的虚拟加密货币可以在交易所直接获利。除非区块链相关的空气币泡沫破灭,否则挖矿病毒都将是最直接的黑产赢利模式,远超前几年流行的盗号木马。

比特币挖矿需要高性能的矿机运行,成本高昂,对控制肉鸡挖矿来说,性价比太低。挖矿病毒大多利用受害电脑的CPU资源挖山寨币,而且为了避免被受害者发现,很多挖矿病毒对系统资源的消耗控制更严。

监测发现,大量挖矿病毒会限制CPU资源消耗的上限,当用户在运行高资源消耗的程序时,暂时退出挖矿;在用户系统闲置时全速挖矿等等。挖矿病毒也基本限于三种形式:普通客户端木马挖矿、网页挖矿(入侵网站,植入挖矿代码,打开网页就挖矿),入侵控制企业服务器挖矿。

6.高级可持续性APT攻击威胁距离普通人越来越近

高级可持续性威胁(简称APT),是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。安全厂商近期披露的跨国APT组织,利用高价值安全漏洞,构造精准欺诈邮件,利用所有可能的方式入侵目标网络,窃取情报,破坏目标系统。

除了以上高价值目标,腾讯御见威胁情报中心发现,部分商业化的黑客组织,可能正在使用APT攻击的方式针对普通企业,目标是获得商业情报,出售给特定买家。使得比较接近高价值目标的商业机构,也成为下一个APT攻击的领域。而普通企业的网络安全防护体系,远弱于国家、政府、大型企业网络,更容易成为APT攻击的受害者。

7.刷量刷单类灰色产业依然严重

互联网创新企业容易遭遇羊毛党的攻击,国家实行实名制对网络服务帐号严格管理,但随着物联网的兴起,大量未实行实名制的物联网卡流入市场。羊毛党大量买入物联网卡,注册大量帐号待价而沽。这些虚假帐号在刷单刷量的薅羊毛产业中普通使用,打造虚假繁荣,给相关企业造成严重损失。

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

前言

时至2018年,移动互联网的发展已走过十年历程,智能设备已深入人们生活的方方面面,其安全问题也时刻牵动着人们的神经。自2014年移动端恶意软件爆发时增长以来,Google、手机厂商和移动安全厂商都投入了巨大的精力,与恶意开发者进行了激烈的对抗。

过去几年,经过各方的共同努力,普通Android恶意软件的迅猛增长趋势已经得到遏制,据腾讯手机管家数据显示,2018年上半年Android平台新增恶意样本数468.70万,较去年同期下降47.8%。但与此同时,腾讯大数据监测到基于Android应用供应链的其他环节的安全问题逐渐增多,显示出恶意开发者已经将更多的目光投向Android应用供应链的薄弱环节。鉴于供应链安全问题较强的隐蔽性和影响的广泛性,希望相关各方关注供应链攻击的新形式,做好有效的安全防御措施。

一、新常态下Android应用安全威胁朝供应链环节转移

2017年永恒之蓝勒索蠕虫事件和《网络安全法》的正式实施是网络安全行业的一个分水岭,广大的政企机构的攻防态势和网络安全的监管形势都发生了根本变化,我们称之为网络安全的新常态。2018年,网络安全将全面进入这种新常态,安全威胁也越来越凸显出攻击复杂化、漏洞产业化、网络军火民用化等日益升级的特点。作为网络安全行业重要领域的移动安全,随着攻防对抗进入深水区,面临的安全威胁也呈现出新的特点:

1. Android恶意样本总体增长趋势得到遏制

过去几年,在Google、手机厂商和安全厂商的共同努力下,移动端恶意软件的迅猛增长趋势得到了遏制。根据Google《2017年度Android安全报告》显示,2017年,有超过70万款应用因违反相关规定从Google Play上下架,Android用户在Google Play 上下载到潜在恶意应用的几率是0.02%,该比率较2016年下降0.02%。而根据腾讯手机管家数据显示,2018年上半年Android平台新增恶意样本468.70万,相比2017年上半年(899万)下降47.8%,扭转了2015年以来的迅猛增长势头。

2015-2018年上半年新增病毒包数趋势对比.png

2. 更多的高端的移动端恶意软件

相较与Android恶意应用总体数量呈下降趋势,高端的、复杂移动恶意软件的攻击却有上升趋势。近年来,安全研究人员和分析团队跟踪了100多个APT组织及其活动,这些组织发起的攻击活动异常复杂,而且拥有丰富的武器资源,包括0day漏洞,fileless攻击工具等,攻击者还会结合传统的黑客攻击动用更复杂的人力资源来完成数据的窃取任务。2016年8月Lookout发表了他们对一个复杂的移动间谍软件Pegasus的研究报告,这款间谍软件与以色列的安全公司NSO Group有关,结合了多个0day漏洞,能够远程绕过现代移动操作系统的安全防御,甚至能够攻破一向以安全著称的iOS系统。2017年4月,谷歌公布了其对Pegasus间谍软件的安卓版Chrysaor的分析报告。除了上述两款移动端间谍软件之外,还有许多其他的APT组织都开发了自定义的移动端植入恶意软件。评估认为,在野的移动端恶意软件的总数可能高于目前公布的数量,可以预见的是,在2018年,攻击量会继续增加,将有更多的高级移动端恶意软件被发现。

3. 更多的供应链薄弱环节被利用

在APT攻击活动的研究过程中,经常可以看到,恶意攻击者为了尝试突破某一目标可以花费很长一段时间,即使屡屡失败也会继续变换方式或途径继续尝试突破,直至找到合适的入侵方式或途径。同时,恶意攻击者也更多地将目光投向供应链中最薄弱的一环,如手机OTA升级服务预装后门程序,第三方广告SDK窃取用户隐私等,这类攻击借助“合法软件”的保护,很容易绕开安全产品的检测,进行大范围的传播和攻击。经过腾讯大数据监测发现,近年来,与Android应用供应链相关的安全事件越来越多,恶意软件作者正越来越多地利用用户与软件供应商间的固有信任,通过层出不穷的攻击手法投递恶意载体,造成难以估量的损失。

综上所述,在Android安全领域,过去几年经Google、手机厂商和安全厂商的共同努力,普通的Android恶意软件的迅猛增长趋势得到了遏制,而恶意开发者则将更多的目光转向了Android应用供应链的薄弱环节,以期增强攻击的隐蔽性和绕过安全厂商的围追堵截,扩大攻击的传播范围。本文将列举近年来与Android应用供应链安全的相关事件,分析Android应用供应链面临的安全挑战,并提出相应的防护对策和建议。

二、Android应用供应链相关概念和环节划分

目前关于Android应用供应链还没有明确的概念,我们根据传统的供应链概念将其简单抽象成如下几个环节:

1.开发环节

应用开发涉及到开发环境、开发工具、第三方库等,并且开发实施的具体过程还包括需求分析、设计、实现和测试等。在这一环节中形成最终用户可用的应用产品。

2.分发环节

用户通过应用商店、网络下载、厂商预装、Rom内置等渠道获取到应用的过程。

3.使用环节

用户使用应用的整个生命周期,包括升级、维护等过程。

三、Android应用供应链生态重要安全事件

从最终用户安全感知角度而言,Android端主要的安全威胁仍然是信息泄露、扣费短信、恶意广告、挖矿木马、勒索软件等常见形态。透过现象看本质,正是因为移动生态环节中的一些安全脆弱点,导致了这些威胁的频发和泛滥。前面定义了应用供应链的概念并抽象出了几大相关环节,攻击者针对上述各环节进行攻击,都有可能影响到最终的应用产品和整个使用场景的安全。

下面,本文将通过相关的安全事件来分析从开发工具、第三方库、分发渠道、应用使用过程等应用供应链相关环节引入的安全风险。

1.png

3.1 开发工具相关安全调研

针对开发工具进行攻击、影响最为广泛的莫过于2015年的XcodeGhost(Xcode非官方版本恶意代码污染事件),Xcode 是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具(IDE),是开发OS X 和 iOS 应用程序的最主流工具。攻击者通过向非官方版本的Xcode注入病毒Xcode Ghost,它的初始传播途径主要是通过非官方下载的 Xcode 传播,通过 CoreService 库文件进行感染。当应用开发者使用带毒的Xcode工作时,编译出的App都将被注入病毒代码,从而产生众多携带病毒的APP。

在Android应用开发方面,由于Android系统的开放性和官方开发工具获取的便捷性,Android平台上尚未发生影响重大的开发工具污染事件。但是当前一些厂商为了进一步简化应用开发者的工作,对Android开发环境进行了进一步的封装,比如App Inventor支持拖拽式开发,PhoneGap等平台支持直接使用html开发应用等,这些开发平台通常为了保证功能的实现,申请大量与用户隐私相关的权限,导致应用存在隐私泄漏的安全风险。另一方面,手机编程工具AIDE和国内支持中文开发的易语言开发工具也进一步降低了恶意开发者的准入门槛,大量使用此类工具开发的恶意应用流入市场,对用户造成安全风险。

3.2 第三方sdk安全事件

 Android应用的开发涉及到许多第三方SDK,包括支付、统计、广告、社交、推送、地图类等多种类型。根据对应用市场上各类型应用TOP 100使用的第三方SDK情况进行分析,发现各类SDK在应用中的集成比例从高到低依次为统计分析类、广告类、社交类、支付类、位置类、推送类。

2.png

而各种类型的APP在第三方SDK使用数量方面,金融借贷类平均使用的SDK数量最多,达到21.5,紧随其后是新闻类APP,平均数量为21.2;往后是购物类、社交类、银行类和游戏类,平均数量都超过15个;再后面的则是出行类、办公类和安全工具类,平均使用的SDK数量相对较少,分别为11.4、9.7和6.7。

3.png

从统计得到的数据可以看到,Android应用在开发时都集成使用了数目众多的第三方SDK,尤其是金融借贷类、购物类、银行类等涉及用户身份信息和财产安全的应用,使用的第三方SDK数量普遍在15个以上,最多的甚至达到30多个。而这些应用集成的第三方SDK中,不仅包含大厂商提供的SDK,而且还包含很多开源社区提供的SDK,这些SDK的安全性都没有得到很好的验证,一旦发生安全问题,将直接危害用户的隐私和财产安全,造成严重的后果。

Android平台数目庞大第三方SDK在加速APP应用产品成型、节省开发成本的同时,其相关安全问题也不容小视。总结近几年Android平台发生第三方SDK安全事件,其安全问题主要发生在以下几个方面:

首先,第三方SDK的开发者的安全能力水平参差不齐,且众多第三方SDK的开发者侧重于功能的实现,在安全方面的投入不足,导致第三方SDK中可能存在着这样或那样的安全漏洞。近两年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等,由于其被广泛集成到大量的APP中,漏洞的影响范围非常大。

FFmpeg漏洞

安全事件 FFmpeg漏洞
披露时间 2017年6月
事件描述 FFmpeg的是一款全球领先的多媒体框架,支持解码、编码、转码、复用、解复用、流媒体、过滤器和播放几乎任何格式的多媒体文件。2017年6月,neex向Hackerone平台提交了俄罗斯最大社交网站VK.com的ffmpeg的远程任意文件读取漏洞。该漏洞利用了FFmpeg可以处理HLS播放列表的特性,而播放列表(Playlist)中可以引用外部文件。通过在播放列表中添加本地任意文件的引用,并将该文件上传到视频网站,可以触发本地文件读取从来获得服务器文件内容。同时,该漏洞亦可触发SSRF漏洞,造成非常大的危害。
影响范围 主流的视频应用几乎都采用了该开源框架,一旦被爆出安全漏洞,影响无法估量
参考链接 https://hackerone.com/reports/226756 http://www.freebuf.com/column/142775.html

友盟SDK未导出组件暴露漏洞

安全事件 友盟SDK未导出组件暴露漏洞
披露时间 2017年12月
事件描述 2017年12月,国内消息推送厂商友盟的SDK被爆出存在可越权调用未导出组件的漏洞,利用该漏洞可以实现对使用了友盟SDK的应用进行多种恶意攻击,包括:任意组件的恶意调用、虚假消息的通知、远程代码执行等。
影响范围 7千多款APP应用受影响,涉及多种类型的应用
参考链接 http://www.freebuf.com/articles/system/156332.html

ZipperDown漏洞

安全事件 ZipperDown漏洞
披露时间 2018年5月
事件描述 2018年5月,盘古实验室爆出SSZipArchive和ZipArchive两个开源库解压缩过程中没有考虑到文件名中包含“../”的情况,造成了文件释放过程中路径穿越,导致恶意Zip文件可以在App沙盒范围内,覆盖任意可写文件。
影响范围 影响多款流行应用
参考链接 https://zipperdown.org/

其次,部分SDK开发者出于某种目的,在其开发的SDK中预留了后门用于收集用户信息和执行越权操作。相关安全事件:

百度SDK Wormhole事件

安全事件 百度moplus SDK被爆出存在(Wormhole)漏洞
披露时间 2015年11月
事件描述 2015年11月,百度moplus SDK被爆出存在(Wormhole)漏洞,影响多款用户量过亿的应用。通过对Wormhole这个安全漏洞的研究,发现Moplus SDK具有后门功能,攻击者可以利用此后门对受害用户手机进行远程静默安装应用、启动任意应用、打开任意网页、静默添加联系人、获取用用户隐私信息等。
影响范围 14000款app遭植入,安卓设备感染量未知 
参考链接 http://www.freebuf.com/vuls/83789.html https://www.secpulse.com/archives/40062.html

Igexin SDK窃取用户隐私

安全事件 Igexin SDK窃取用户隐私
披露时间 2017年8月
事件描述 2017年8月,国内一家名为Igexin的广告SDK被移动安全厂商Lookout报出存在秘密窃取用户数据的行为。Igexin SDK借着合法应用的掩护上架应用市场,在应用运行过程中会连接Igexin的服务器,下载并动态加载执行恶意代码,收集上报用户设备上的各种隐私数据,包括设备信息、通话日志记录等。
影响范围 报告指出Google Play上超过500款应用使用了Igexin 的广告SDK,这些应用的总下载次数超过1亿次。
参考链接 https://blog.lookout.com/igexin-malicious-sdk

再次,部分恶意开发者渗入了SDK开发环节,以提供第三方服务的方式吸引其他APP应用开发者来集成他们的SDK。借助这些合法应用,恶意的SDK可以有效地躲避大部分应用市场和安全厂商的检测,影响大量用户的安全。

“Ya Ya Yun”恶意SDK

安全事件 “Ya Ya Yun”恶意SDK
披露时间 2018年1月
事件描述 Doctor Web病毒分析师在Google Play上发现了几款游戏在运行时秘密地下载和启动执行各种恶意行为的附加模块。分析发现作恶模块是一个叫做呀呀云(Ya Ya Yun)的框架(SDK)的一部分。该SDK秘密地从远程服务器下载恶意模块,通过后台打开网站并模拟点击来盗刷广告,获取灰色收益。
影响范围 Google Play上超27款游戏应用包含此恶意SDK,影响超450万个用户
参考链接 https://news.drweb.com/show/?i=11685&lng=en&c=14

“寄生推”恶意SDK

安全事件 寄生推”恶意SDK
披露时间 2018年4月
事件描述 2018年4月,腾讯安全反诈骗实验室的TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,它通过预留的“后门”云控开启恶意功能,私自ROOT用户设备并植入恶意模块,进行恶意广告行为和应用推广,以实现牟取灰色收益。
影响范围 超过300多款知名应用受“寄生推”SDK感染,潜在影响用户超2000万。
参考链接 http://www.freebuf.com/articles/terminal/168984.html

3.3 应用分发渠道安全事件

Android应用分发渠道在供应链中占据着十分重要的位置,也是安全问题频发的环节。Android应用分发渠道众多,应用市场、厂商预装、破解网站、ROM内置等都是用户获取应用的常见方式。不仅第三方站点下载、破解应用等灰色供应链中获取的软件极易被植入恶意代码,就连某些正规的应用市场,由于审核不严等因素也被攻击者植入过含有恶意代码的“正规”软件。

WireX Android Botnet

安全事件 WireX Android Botnet 污染 Google Play 应用市场事件
披露时间  2017年8月
事件描述 2017年8月17日,名为WireX BotNet的僵尸网络通过伪装普通安卓应用的方式大量感染安卓设备并发动了较大规模的DDoS攻击,此举引起了部分CDN提供商的注意,此后来自Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team  Cymru等组织联合对该事件进行分析,并于8月28日发布了该事件的安全报告。
影响范围 发现大约有300种不同的移动应用程序分散在Google Play商店中,WireX引发的DDoS事件源自至少7万个独立IP地址,8月17日攻击数据的分析显示,来自100多个国家的设备感染了WireX BotNet。
参考链接 https://blog.cloudflare.com/the-wirex-botnet/?utm_content=buffer9e1c5&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer http://www.freebuf.com/articles/terminal/145955.html

Pujia8 破解网站携带木马

安全事件 Pujia8 破解网站携带木马
披露时间 2017年11月
事件描述 2017年11月,腾讯反诈骗实验室发现某游戏破解网站上多款游戏应用被植入了Root模块,在运行时,利用 CVE-2015-1805等内核漏洞强行ROOT用户设备,并将无图标恶意应用植入到设备系统目录,长期潜伏用户设备进行恶意广告和流氓推广行为。
影响范围 涉及多款破解游戏应用,影响百万用户
参考链接 http://www.freebuf.com/articles/network/154029.html

除了用户直接获取应用的渠道存在的安全威胁外,其他提供第三方服务的厂商如OTA升级、安全加固等也可能在服务中预留后门程序,威胁用于的隐私和设备安全。

广升被爆向Android设备预装后门

安全事件 广升被爆向Android设备预装后门,窃取用户隐私
披露时间 2016年11月
事件描述 上海广升信息技术有限公司是全球领先的FOTA技术服务提供商之一,核心业务为广升FOTA无线升级,通过升级包差分,空中下载,远程升级技术,为具有连网功能的设备如手机、平板电脑等智能终端提供固件差分包升级服务。     2016年11月,信息安全公司Kryptowire在一些价格低廉的Android设备上发现了后门程序,该后门会每隔72小时收集设备上的隐私信息,包括短信内容、联系人信息、通话记录、IMEI、IMSI、位置、安装的应用和使用的应用等,上传到该后门开发商的服务器中。后门的开发商是上海广升信息技术股份有限公司,该公司法律顾问称这个后门出现在设备制造商BLU生产的设备上是一个错误行为。     2017年11月, Malwarebytes 移动安全团队公布的报告称大量 Android 设备仍然含有了提供 FOTA 服务的上海广升公司的后门。
影响范围 部分使用了广升FOTA技术服务的中低端Android设备
参考链接 https://www.bleepingcomputer.com/news/security/secret-backdoor-in-some-low-priced-android-phones-sent-data-to-a-server-in-china/ https://www.bleepingcomputer.com/news/security/chinese-backdoor-still-active-on-many-android-devices/

OTA厂商锐嘉科在Android设备中植入rootkit

安全事件 OTA厂商锐嘉科在Android设备中植入rootkit
披露时间 2016年11月
事件描述 2016年11月,AnubisNetworks的安全研究人员发现多个品牌的Android手机固件OTA升级机制存在安全问题,而这种不安全的的OTA升级机制和中国一家名为锐嘉科(Ragentek Group)的公司有关。 报告称,安装该恶意软件的设备可被黑客进行中间人攻击,并且以root权限执行任意代码以此来获得对Android设备的绝对控制权,其主要原因是因为设备在OTA更新的时候没有采取严格的加密措施导致的。
影响范围 三百万台被植入该后门的安卓设备
参考链接 http://www.freebuf.com/news/120639.html

某加固服务被爆出夹带广告

安全事件 某加固服务被爆出夹带广告
披露时间 2017年1月
事件描述 2017年初,有开发者反馈,开发的应用在使用了某加固服务后,被嵌入了充电广告。根据开发者的挖掘,该加固服务在加固应用时,会在开发者不知情的情况下植入代码用于拉取广告、下载拉活其他应用、程序异常上报、获取应用程序信息等行为。
影响范围 涉及使用该版本加固服务的所有应用
参考链接 http://www.dgtle.com/article-17069-1.html

3.4 使用环节的安全问题

用户在使用应用的过程中,也可能面临应用升级更新的情况,2017年12月,Android平台爆出“核弹级”Janus漏洞,能在不影响应用签名的情况下,修改应用代码,导致应用的升级安装可能被恶意篡改。同样,随着越来越多的应用采用热补丁的方式更新应用代码,恶意开发者也趁虚而入,在应用更新方式上做手脚,下发恶意代码,威胁用户安全。

Janus签名漏洞

安全事件 Android平台爆出Janus签名漏洞,应用升级可能被恶意篡改
披露时间 2017年12月
事件描述  2017年12月,Android平台被爆出“核弹级”漏洞Janus(CVE-2017-13156),该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其签名。正常情况下 根据Android签名机制,开发者发布一个应用,需要使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名,否则修改过的应用是无法安装到任何Android设备上的。但是通过Janus漏洞,恶意攻击者可以篡改Android应用中的代码,而不会影响其签名,并通过应用升级过程,覆盖安装原有应用。
影响范围 系统版本Android 5.0~8.0,采用v1签名的APK应用
参考链接 http://www.freebuf.com/articles/paper/158133.html

儿童游戏系列应用

安全事件 儿童游戏应用,动态更新下载恶意代码
披露时间 2018年5月
事件描述 2018年5月,腾讯安全反诈骗实验室曝光了“儿童游戏”系列恶意应用。这类应用表面上是儿童益智类的小游戏,在国内大部分应用市场都有上架,但实际上,这些应用在使用过程中可以通过云端控制更新恶意代码包,在背地里做着用户无法感知的恶意行为:加载恶意广告插件,通过将广告展示界面设置为不可见,进行广告盗刷行为,疯狂消耗用户流量;动态加载恶意ROOT子包,获取手机ROOT权限,替换系统文件,将恶意的ELF文件植入用户手机。
影响范围 涉及一百多款儿童游戏应用,累计影响用户数达百万
参考链接 http://www.freebuf.com/articles/terminal/173104.html

四、供应链安全的发展趋势和带来的新挑战

4.png

Android供应链安全事件时序图

分析我们整理的关于Android应用供应链的重要安全事件的时序图可以发现,针对供应链攻击的安全事件在影响面、严重程度上都绝不低于传统的恶意应用本身和针对操作系统的漏洞攻击,针对Android应用供应链的攻击的呈现出以下趋势:

1、针对供应链下游(分发环节)攻击的安全事件占据了供应链攻击的大头,受影响用户数多在百万级别,且层出不穷。类似于XcodeGhost这类污染开发工具针对软件供应链上游(开发环境)进行攻击的安全事件较少,但攻击一旦成功,却可能影响上亿用户。

2、第三方SDK安全事件和厂商预留后门也是Android供应链中频发的安全事件,这类攻击大多采用了白签名绕过查杀体系的机制,其行为也介于黑白之间,从影响用户数来说远超一般的漏洞利用类攻击。

3、从攻击的隐蔽性来讲,基于供应链各环节的攻击较传统的恶意应用来说,隐蔽性更强,潜伏周期更久,攻击的发现和清理也都比较复杂。

4、针对供应链各环节被揭露出来的攻击在近几年都呈上升趋势,在趋于更加复杂化的互联网环境下,软件供应链所暴露给攻击者的攻击面越来越多,并且越来越多的攻击者也发现针对供应链的攻击相对针对应用本身或系统的漏洞攻击可能更加容易,成本更低。

针对供应链的攻击事件增多,攻击的深度和广度的延伸也给移动安全厂商带来了更大的挑战。无论是基于特征码查杀、启发式杀毒这类以静态特征对抗静态代码的第一代安全技术,还是以云查和机器学习对抗样本变种、使用白名单和“非白即黑”的限制策略等主动防御手段为主的第二代安全技术,在面对更具有针对性、隐蔽性的攻击时,都显得捉襟见肘。在这种新的攻击环境下,我们极需一种新时代的安全体系来保护组织和用户的安全。

五、打造Android供应链安全生态

针对软件供应链攻击,无论是免费应用还是付费应用,在供应链的各个环节都可能被攻击者利用,因此,需要对供应链全面设防,打造Android应用供应链的安全生态。在应对应用供应链攻击的整个场景中,需要手机厂商、应用开发者、应用市场、安全厂商、最终用户等各主体积极参与、通力合作。

手机厂商

受到Android系统的诸多特性的影响,系统版本的碎片化问题十分严重。各大手机厂商对现存设备安全漏洞的修复和更新安全补丁的响应时间有很大的区别。

1、关注Google关于Android系统的安全通告,及时对系统已知的安全漏洞进行修复;

2、关注自身维护机型的安全动态,如被揭露出存在严重的安全问题,通过配置或加入其他安全性控制作为缓解措施,必要时对系统进行相应的安全升级;

3、遵守相关安全法规,严禁开发人员在手机系统中留下调试后门之类的安全风险,防止被恶意利用,保证可信安全的手机系统环境。

应用开发商/者

 培养开发人员的安全意识,在开发过程的各个环节建立检查点,把安全性的评估作为一个必要评审项。开发环节严格遵守开发规范,防止类似调试后门等安全威胁的产生。开发完成的应用发布前交给独立的内部或外部测评组织进行安全性评估,及时解决所发现的问题。

通过正规渠道发布应用,对应用签名证书做好保密措施,规范应用发布流程,防止应用签名证书泄露导致应用被篡改。软件升级更新时,要校验下载回来的升级包,保证不运行被劫持的升级包。

应用市场

由于Android系统的开发性和一些特殊的原因,各大手机厂商的应用市场、应用宝和众多第三方应用市场是国内应用分发的主要渠道。应用市场在Android应用供应链生态在处于十分关键的位置,也是安全问题频发的环节。针对应用市场,我们给出了以下建议:

1、规范应用审核和发布流程,各环节严格把控,禁止具有安全风险的应用进入应用市场;

2、完善的应用开发商/者的管理规范,实施有效的奖惩措施,打击恶意开发者,防止恶意开发者浑水摸鱼;

3、提升自身恶意应用检测能力或使用成熟的安全厂商提供的检测服务,预防恶意应用进入应用市场。

安全厂商

长期以来安全厂商大多以应用安全和操作系统本身的漏洞为中心提供产品和服务,针对供应链环节的安全问题似乎并没有投入足够的关注。通过上述对应用供应链各环节的重大安全事件分析可以看到,应用开发、交付、使用等环节都存在巨大的安全威胁,其导致的危害并不低于安全漏洞所导致的情况,因此仅关注软件及操作系统本身的安全威胁是远远不够的。所以,安全厂商需要从完整的软件供应链角度形成全景的安全视野,才能解决更多纵深的安全风险。安全厂商可以加强如下几点:

1.提升发现安全问题的能力,不仅限于通常意义恶意软件和系统上的安全漏洞,而是要关注应用供应链的各个环节,针对应用在终端上的行为,而非样本本身进行防御;

2.提供创新型的产品和服务,为用户实现全面细致的态势感知,立足于安全威胁本身,链接威胁背后的组织、目的和技术手段,进行持续监控,发现可能的未知攻击,并帮助用户完成安全事件的快速检测和响应。

为应对未来严峻的安全挑战,腾讯安全立足终端安全,推出自研AI反病毒引擎——腾讯TRP引擎,TRP引擎通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对设备上各类应用的行为进行深度学习,能有效识别恶意应用的风险行为,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。

5.png

同时针对恶意软件开发者和黑产从业人员,腾讯反诈骗实验室基于海量的样本APK数据、URL数据和手机号码黑库建立了神羊情报系统,可以根据恶意软件的恶意行为、传播URL和样本信息进行聚类分析,溯源追踪恶意攻击的攻击链条、使用的技术手段、背后的开发团队/者,提供详细的威胁情报,予以精确打击,保护厂商和广大用户免受恶意软件侵害。

最终用户

最终用户身处供应链的最末端,作为应用的使用者,也是恶意应用的直接危害对象,我们给出了以下建议:

1、尽可能使用正版和官方应用市场提供的APP应用;

2、不要安装非可信渠道的应用和点击可疑的URL;

3、移动设备及时进行安全更新;

4、安装手机管家等安全软件,实时进行保护。

参考链接:

https://hackerone.com/reports/226756

http://www.freebuf.com/column/142775.html

http://www.freebuf.com/articles/system/156332.html

https://zipperdown.org/

http://www.freebuf.com/vuls/83789.htmlhttps://www.secpulse.com/archives/40062.html

https://blog.lookout.com/igexin-malicious-sdk

https://news.drweb.com/show/?i=11685&lng=en&c=14

http://www.freebuf.com/articles/terminal/168984.html

https://blog.cloudflare.com/the-wirex-botnet/?utm_content=buffer9e1c5&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

http://www.freebuf.com/articles/terminal/145955.html

http://www.freebuf.com/articles/network/154029.html

https://www.bleepingcomputer.com/news/security/secret-backdoor-in-some-low-priced-android-phones-sent-data-to-a-server-in-china/

https://www.bleepingcomputer.com/news/security/chinese-backdoor-still-active-on-many-android-devices/

http://www.freebuf.com/news/120639.html

http://www.dgtle.com/article-17069-1.html

http://www.freebuf.com/articles/paper/158133.html

http://www.freebuf.com/articles/terminal/173104.html

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

一、概要

近期,腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎捕获到儿童游戏-宝宝**、儿童游戏-宝宝**、儿童游戏-公主** 等“儿童游戏”系列应用在用户设备上有流量异常行为,且存在频繁动态加载dex文件、执行命令、私自提权等可疑操作。安全研究人员通过深入跟踪和分析,发现这类应用表面上是儿童益智类的小游戏,在国内大部分应用市场都有上架,运行后应用界面也没有广告,看起来很“良心”,但实际上,这些应用可以通过云端控制下发恶意插件,在背地里做着用户无法感知的恶意行为:加载恶意广告插件,通过将广告展示界面设置为不可见,进行广告盗刷行为,疯狂消耗用户流量;动态加载恶意ROOT子包,获取手机ROOT权限,替换系统文件,将恶意的ELF文件植入用户手机。

安全人员将这一系列木马应用称为“BlackBaby”木马家族,且“BlackBaby”木马植入的恶意ELF文件模块可以脱离母体独立运行,长期潜伏用户手机,且开机自启动,在后台静默推送恶意色情、扣费软件,对用户造成严重滋扰。

腾讯安全专家分析发现“BlackBaby”系列木马为了绕过查杀、提升了与杀软对抗的能力,使用了很多病毒逃逸技术,主要包括:

使用代码分离技术将代码拆分为多个dex子包,分阶段自云端下载并动态加载,用以绕过了杀软的安装包检测,且便于其他应用集成;

使用了强混淆技术,自定义的字符串变形加密等手段,对抗静态代码检测;

云端控制下发逻辑,躲避杀软的蜜罐检测;

“BlackBaby”系列木马涉及一百多款儿童游戏应用,累计影响用户数达百万,其中影响用户较大的应用有:

软件名 包名 周用户量
儿童游戏-涂*** com.men.******rawl 20万+
儿童游戏-宝宝***钉 com.lhyy.chil****urnly 12万+
儿童游戏-打*** com.yuyoo******le3.sub1 7万+
宝宝***-儿童游戏 com.lhyy.chi*****ro 7万+
宝宝学习-涂色*** com.ba*****lor 6万+
儿童游戏-宝宝*** com.lhyy.children*** 4万+
儿童游戏-宝宝*** com.lhyy.childrenc*** 3.5万+
宝宝游戏-儿童超市 com.lhyy.children*** 3.5万+
儿童游戏-宝宝***钉 com.lhyy.children****ly 3.5万+
儿童游戏-宝宝***屋 com.lhyy.ltm.baby**** 3万+
儿童游戏-宝宝***钉 com.lhyy.children****** 3万+
儿童游戏-宝宝*** com.doding.children****** 3万+
宝宝游戏-儿童*** com.lhyy.children****** 2.5万+
儿童游戏-宝宝***巴士 com.baby.baby*** 2.5万+
恐龙宝宝***益智 com.lhyy.wl.protwobaby****** 2.5万+
宝宝***派对 com.lhyy.ltm.baby****** 2.5万+
宝宝游戏-儿童*** com.lhyy.children****** 2.5万+
儿童游戏-方块*** com.lhyy.******ks 2.5万+
儿童游戏-宝宝*** com.lhyy.children****** 2.5万+
儿童游戏-***花园 com.yuyoogame.ameng******u1Sub1.sub1 2.5万+
****拼图儿童拼图 com.lhyy.***** 2+
儿童游戏-宝宝*** com.baby.**** 2+
宝宝***酷游戏 com.lhyy.wl***** 2+
儿童游戏-***音乐 com.doding.children**** 1.5万+
儿童游戏-宝宝**** com.lhyy.children**** 1.5万+
****游戏-2到7岁 com.doding.fmsdjig****** 1.5万+
宝宝神奇** com.lhyy.wl.new**** 1.5万+
儿童学习公主**** com.lhyy.wl.princesspuzzl**** 1.5万+
****游戏-2到7岁 com.doding.fmsdjigsaw**** 1.5万+
美图****宝宝拼图 com.lhyy.wl.****puzzle 1.5万+
****乐园-宝宝游戏 com.yuyoogame.ameng******.bingyuan1 1.5万+
儿童游戏-宝宝**** com.lhyy.children**** 1.5万+
宝宝游戏-儿童*** com.lhyy.children**** 1.5万+
儿童游戏-宝宝**** com.doding.children****** 1万+
宝宝认知****游戏 com.yuyoogame.******gu1 1万+
宝宝****益智游戏 com.lhyy.wl.probaby**** 1万+
儿童游戏-****乐园 com.yuyoogame.****** 1万+
宝宝*** com.lhyy.children**** 1万+
宝宝游戏***达人 com.lhyy.wl.****** 1万+
宝宝游戏-儿童****钉 com.lhyy.children****** 1万+
儿童游戏-**世界 com.yuyoogame.****** 1万+
****乐园3 com.yuyoogame.ameng.**** 1万+
儿童游戏****拼图 com.lhyy.wl.****puzzle 1万+
儿童游戏-宝宝**** com.lhyy.children**** 1万+
……    

腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎基于应用的行为进行深度学习,能有效探测应用的可疑操作,很好的应对上述病毒应用采用的逃逸技术,目前已经率先支持查杀该木马家族。

图片1.png图片2.png

二、病毒详细分析

我们以 儿童拼图**拼图 样本为例,对“BlackBaby”木马的作恶行为进行详细分析。

2.1 病毒执行流程

1-dama.png

2.2  详细流程分析

应用启动时调起fmsd插件的InitSDK方法,会首先连接云端服务器获取配置信息;

1.png2.png

3-dama.png

云端返回的配置信息,其中子包主要有两个,分别为fmsd_sdk.jar 和 fmsd_sdk_standard.jar,并设置了子包在各渠道上是否下发;

13-dama.png

根据云端返回的结果和自身的渠道信息,决定是否下载恶意子包fmsd_sdk.jar 和 fmsd_sdk_standard.jar

11-dama.png12-dma.png

A、fmsd_sdk.jar子包设置隐藏广告界面,针对不同的广告平台,进行刷广告行为,消耗用户流量

2.png

1)、反射调用*** mobad的API接口进行刷广告

3.png

2)、反射调用g***的API接口进行刷广告

4.png

3)、使用自定义的webView加载广告url来刷德业广告

伪造请求,获取广告链接

4-dama.png

广告提供商返回的广告信息

5.png

解析返回的广告信息,使用自定义的webView加载广告

6.png7.png

4)、动态抓包获取的广告流量

7-dama.png8-dama.png

B、 fmsd_sdk_standard.jar子包静默Root用户手机、植入恶意elf模块

1)  Dex子包 fmsd_sdk_standard.jar 会从服务器 http://bnzx.*****61819 下载加密文件,并解密释放在应用的.um_ass目录,释放的文件libumeng.so是一个so文件,子包通过System.load() 加载so文件,并调用它的load_native()方法;

8.png

So文件libumeng.so会下载dex子包opa_link.jar ,通过JNI调用DexClassLoader将其动态加载,并将获得的ClassLoader返回给Java层;Java层再通过得到的ClassLoader加载目标类并调用其方法;

9.png

2)  opa_link.jar 恶意子包被调用后会链接服务器,上传设备相关信息,获取服务器返回的Root子包的相关数据10.png11-dama.png

加密传输的网络请求

14-dama.png

解密后的网络请求,我们可以清楚的看到,恶意子包将设备的恶意子包的版本信息、用户应用安装列表、运行包名、运行信息、以及(imei、imsi、osver、mac等)设备信息上传到服务器端;

12-dama.png

解密后的服务器返回数据,包含一些配置信息和root模块的下载url、入口类名、函数名等信息。

5.png

解析服务器返回的数据,获取Root模块的url、入口类名、函数名等信息

13.png

下载root子包,以md5+.jar重命名文件解密释放到应用的.lib/2001目录

14.png

根据下发的配置信息,加载并调起Root子包

16.png

3)  Root子包被加载调用后,会联网下载Root方案,对用户设备进行root

18.png

子包Root成功后,会链接云端服务器,下载、植入病毒相关的脚本和恶意elf文件到设备的系统目录,并进行长期潜伏。其中主要的恶意文件包括但不限于以下文件:

类型 功能 主要文件
恶意脚本 开机启动病毒模块 /system/etc/mocdinfo.sh /system/etc/install-recovery.sh /system/etc/install-cm-recovery.sh /system/bin/.install-recovery.no.sh
相关配置文件 存储相关配置信息和设备标识 /system/etc/.asks /system/etc/.chlres /system/etc/.zosie /system/etc/.uuidres /system/etc/.rac /system/etc/.rsd …
恶意elf文件 长期潜伏系统,以root权限运行; 与服务器进行通信,上传设备隐私信息; 下载安装应用,进行流氓推广行为 /system/xbin/cksxlbay /system/xbin/csbrislp /system/xbin/uixyeb /system/xbin/.run-us /system/xbin/oqlgo /system/xbin/qgvyjmr /system/xbin/zisjj /system/xbin/axhxb /system/xbin/wwmxb /system/xbin/culpxywg /system/xbin/paeoaki /system/xbin/csbrislp /system/xbin/togxzx ….

被植入恶意elf文件模块在后台运行,连接服务器,下载并静默安装恶意推广应用。恶意推广应用启动后,并以插屏、循环轮播的方式频繁弹出广告,严重影响用户手机正常使用。

19.png

三、病毒C2C相关信息和逃逸手段

C2C信息

URL 备注
http://apps****SDK.json 云端控制信息
http://apps.******SDK_DEX.jar fmsd_sdk.jar下载  
http://apps******DEX.jar fmsd_sdk_standard.jar下载
http://bnzx.******61819 加密so下载
http://zynb******Service
http://yznbt.******Service
服务器返回Root子包信息
http://ef328t.******.xjar 加密Root子包下载
……  

病毒隐匿技术和对抗手段:

1、将恶意功能的实现拆分到多个dex子包中,通过云端配置是否下发,可以绕过应用安装包检测和增加蜜罐分析的难度;

2、恶意行为隐藏在后台执行,躲过用户感知;

3、恶意子包加密传输,且使用自定义的字符串变形、加密,增大病毒分析的难度;

四、溯源信息

通过对相关信息溯源发现,该幕后黑手是位于天津的厂商

6-dama.png

五、安全建议和防范手段

随着Android生态的发展与完善,Android平台的恶意软件与杀软的对抗也日趋白热化,对抗手段不断升级,恶意软件制作者采取各种病毒逃逸技术,混淆、加密、动态加载、云端下发等,以期绕过杀毒软件的检测。针对日益升级的对抗,腾讯安全已推出自研AI反病毒引擎——腾讯TRP引擎,TRP引擎通过对系统层的敏感行为进行监控,掐住病毒软件的命脉,配合能力成熟的AI技术对应用行为的深度学习,能有效识别恶意应用的风险行为,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。

20.png

为尽可能的避免恶意软件的危害,我们也给用户提出了以下几条防护建议:

1、不要安装非可信渠道的应用;

2、手机上网时,不要随意点击不明URL链接和扫描安全性未知的二维码信息;

3、及时进行安全更新;

4、安装手机安全软件,实时进行保护。

六、附录

样本sha1

0efc20d54*****d1d97784

0aa152ad********afa5e73d9

30ef38d************1c0699cba3a3c

恶意子包sha1

c7e015972****476a68bb4

a60f8****ddfd292aa4

54aed2****09f1e23c

839fd****203fff04

恶意elf文件sha1

cccef575****b543a106

25e8e36****af84ac1

bca00c****f3a9761

83ea6****7eb8c0fb

9a891a1****d9f43ddfe

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

前言

近期,腾讯反诈骗实验通过AI引擎聚类关联发现,恶意利用Android辅助功能,究其原因是,从市场反馈来看,由于没有足够的安全意识,导致辅助功能被恶意使用,及诱导用户开启辅助功能,导致来历不明的软件自动安装到手机,危害用户财产和隐私安全,从Accessibility辅助功能初衷,原理,使用场景等不同角度研究安全性。

恶意利用辅助功能的软件包含Accessibility权限的风险样本,占含有辅助功能软件的12.06%,在 2017下半年~2018上半年,其中2 ~3 月增长最为迅速的风险软件是诱导分享风险软件。

基于用户需求和行为,以及采用黑客社会工程学,黑产利用其开发多款带有潜在威胁的辅助软件,威胁设备安全。

恶意利用辅助功能的风险软件,诱导分享,流氓推广,隐私窃取病毒软件,分别占比 47%17% 16%

Accessibility 辅助功能恶意利用的主要场景如下:

(1)银行木马,拦截用户输入的敏感信息,如:验证码,短信内容等

(2)窃取用户隐私,截获用户,如:短信,通讯录,联系人记录等个人重要隐私。

(3)应用推广,自动化推广安装垃圾应用。

(4)游戏外挂,控制游戏流程。

第一部分 Accessibility发展

1.1 辅助功能由来    

依据Google官方文档显示,为帮助到一些身体特殊的用户不能很好的使用设备, 比如,视力,动作,年龄,声音等方面的限制给用户在阅读内容,触屏操作,声音控制等发面造成困扰,因此Android提供Accessibility辅助帮助用户更好的使用Android设备。

1.2 Accessibility正常使用场景

Accessibility主要功能面向动作,视力,听力身体特殊用户群体,例如:如果有人在烹饪时使用您的应用程序,则可以使用语音命而不是触摸手势进行导航;正在驾驶的用户,正照顾小孩子或参加一个非常吵闹的聚会;行动不便用户;遭遇疾病,麻痹症、脑瘫肌肉萎缩性等患者,在不修改源码情况下,满足很好使用Android设备的需求,而开发手机辅助功能。由此可见Accessibility无障碍服务面向特殊群体的功能,对开发者也是很好的服务。如:小米手机开启辅助功能步骤:设置>其他高级设置>辅助功能>开启(关闭)响应辅助功能:

1.png

1.3 Accessibility运行原理

Accessibility相关接口,Android 1.6时期就已经加入,其中AccessibilityService(辅助功能)组件为入口,处理响应事件的方法,树结构等关键方法完成辅助功能,其中树结构方法(Android 4.0以后加入),在设置中手动关闭或者通过服务本身关闭,此服务与一般服务不同几点。

(1)该服务权限,如下图,该权限保证服务只能有系统绑定调用

2.png

(2)该服务需要AccessiblityService无障碍服务

3.png

(3)AndroidManifest清单文件的Service标签中提供一个meta-data标签,且需要提供AccessiblityService的配置文件,通过此文件指定相应的事件类型,反馈类型等内容,比如:声音反馈,触觉反馈,视觉反馈等

4.png

1.4 Android辅助功能权限及新增功能作用

5.png

第二部分Accessibility恶意利用

2.1恶意利用Accessibility技术总结

设计Accessibility辅助功能服务,包括无障碍服务、辅助功时,市场反馈来看,没有足够的安全防护意识,甚至由于服务置于后台,对用户没有交互,用户很少发现辅助功能的存在,形成了如今滥用Accessibility的情况。

6.png

2.2恶意利用辅助功能分类占比

据大数据显示,滥用辅助功能家族主要集中在:灰色病毒为主,其次流氓行为和隐私窃取行为,其中风险软件中诱导分享类软件占比最高,占到病毒家族总数的47%,其次为流氓行为占比17%,辅助外挂占比:16%。

7.png

2.3恶意利用辅助功能病毒家族占比

恶意利用辅助功能的病毒家族是:诱导分享、流氓行为和辅助外挂病毒为主。

8.png

2.4恶意利用Accessibility趋势

通过视图可以发现,在2017末季~2018年春季,其中2月~3月增长最为迅猛的为,诱导分享类病毒,3月以后迅速下降,据合理、推测,临近春节黑产出没频繁,利用节日搞“营销”活动,急需辅助类软件宣传推广,节日末期开始呈下降趋势。

9.png

第三部分恶意利用场景

基于用户需求和行为,以及采用黑客社会工程学,开发多款带有潜在威胁的辅助软件,威胁设备安全,大致可分为几个用场景阐述,比如:群控系统,流量分发,隐私盗取,非法游戏辅助几个主要利用场景展开阐述。

10.png

3.1群控系统

主要在社交软件群控场景下,是在群控系统基础上,针对社交软件定制化,批量模拟正常用户操作软硬件集成系统,它群控系统软件加各种批量模拟脚本的手段,完成微信批量操作,规避微信产品规则,对抗微信风控技术策略,辅助黑产人员实现各种各样的“营销”效果,其本质是一种新型的、高级的社交软件黑灰产变现和导流实现工具。

群控运作流程图:

11.png

3.2流量分发场景

恶意使用Accessibility服务,比如“WIFI链接器”的应用,启动后诱导用户开启WiFi加速服务,其实就是开启恶意应用自身的辅助服务,而该恶意应用的AccessibilityService一旦被启动,随后应用弹出恶意广告界面,即使受害者关闭弹出的广告,这个过程是调用系统的安装,获取安装界面的按钮位置,Accessibility提供的模拟用户点击功能,代替用户自动点击下一步,直到安装结束。下图是弹出的广告图,触碰后即可开始下载安装推广的应用。

12.png

功能运作流程图

13.png

详细代码分析:

(1)恶意应用在wif列表模块,正是利用继承AccessiblityService服务的wifiZengQiangService增强服务,诱导开启一键加速,实际是诱导用户安装推广软件。

14.png

(2)该恶意应用的AccessibilityService一旦被启动,随后应用弹出恶意广告界面,模拟用户点击,即使用户关闭弹出的广告,该应用程序也会被自动下载,随后成功安装。

15.png

(3)私自上传上传设备wifiMac,imei,appid等设备信息,并解析应用下载推广应用和恶意广告弹窗,获取带推送安装包信息,下载安装垃圾app。

16.png

3.3蹭热点事件场景

披着华丽外衣的狼,利用用一些游戏玩家急需预约《大吉大利,今晚吃鸡》,《绝地求生》,《王者荣耀》等热门游戏辅助软件开发多  款木马病毒,以锁屏,恶意扣费,捆绑恶意代码等方式来感染用户手机,勒索用户钱财。

恶意软件研发及制作传播流程:

17.gif

比如“绝地求生辅助”软件,其实伪装的勒索手机病毒,启动后强制将自身界面置于设备屏幕上或者修改设备PIN码锁屏,同时被勒索用户添加勒索者微信支付50元金额,寻求解锁密码。

18.png

病毒运作流程图:

19.png

详细代码分析:

(1)应用启动后,诱导用户激活设备管理器,提高病毒权限

20.png

(2)病毒激活设备管理后,同时后台实时监听短信内容

21.png

(3)接收短信指令执行恶意行为,程序在运行的时候接受的短信进行监听,当控制方发来短信时,会对短信内容解析获取指令信息,并控制手机执行相应的恶意操作,控制方手机发来的短信指令信息,如判断接受到LOOk指令,并且通知控制方木马到期时间。

22.png

(4)该指令对应的恶意操作如下表格

23.png

(5)通过邮件方式取得用户密码,向指定联系人发送指定短信内容,比如钓鱼短信,推送木马短信等

24.png

3.4游戏作弊场景

修改内存型辅助软件,基于官方游戏APP,属于动态修改游戏业务逻辑,这类外挂往往会向游戏进程中注入第三方恶意模块,并且还伴随着诱导分享传播感染更多用户,然后通过修改代码的逻辑、修改内存中的数值等手段达到游戏人物位置,移动加血、抢无后坐,敌人位置等,增加血量等,此类辅助软件会极大的破坏游戏的平衡性。

25.png

修改游戏辅助运行流程:

26.png

3.5社交辅助软件应用场景

近日,“嗮”微信小程序游戏排名,游戏段位,成为了许多人朋友圈的新潮流,因此,一款名为“最强弹一弹”,“头脑王者秘籍”App也应时而生,成为了各大安卓应用市场的下载热门,这款App可直接对游戏的段位与星级进行修改,瞬间就能让你pk掉所有微信好友,堪称“朋友圈集赞神器”,不过在修改等级的同时,隐私和财产的潜在危机也随之悄然而至。

27.png

这款APP虽然能修改“头脑王者”段位,但自己的电话费也开始不翼而飞,部分用户甚至在短短十几分钟之内就莫名的订购各种游戏业务,被扣20元短信和订阅其他产品产生更多费用。

28.jpg

所谓的“最强弹一弹秘籍”,“头脑王者秘籍”,本质上只是恶意吸费的木马程序。用户一旦不慎下载安装到手机,恶意收费平台就会自动发送订阅各类增值产品的信息,并通过各种垃圾信息来对用户进行骚扰。这类App的开发者通常会先在运营商处开发一款增值产品,随后在app中植入木马程序,让用户手机完成对产品的自动订阅,最终通过运营商的分成来实现牟利。

第四部分安全建议及规范

恶意辅助软件威胁隐私和财产安全带来的极大安全挑战,对手机用户隐私,财产等骚扰造成严重的困扰,如何有效的防范恶意软件的危害显得尤为重要, 为应对未来严峻的安全挑战,腾讯安全已推出自研AI反病毒引擎——腾讯TRP引擎    TRP引擎通过对系统层的敏感行为进行监控,配合能力成熟的AI技术对应用行为的深度学习,能有效识别间辅助软件的风险行为,并实时阻断恶意行为,为用户提供更高智能的实时终端安全防护。

29.png

针对恶意软件开发者,腾讯反诈骗实验室基于海量的样本APK数据、URL数据和手机号码黑库建立了神羊情报系统,可以根据恶意间谍软件的恶意行为、传播URL和样本信息进行聚类分析,溯源追踪恶意软件背后的开发者,给于精确打击,保护广大用户免受恶意软件危害。为尽可能避免恶意辅助软件的危害,我们也给用户提出了以下几条防护建议:

( 1 )建议不要使用非官方开发、授权的第三方软件、插件、外挂、辅助软件及服务。

(2 )建议从正规渠道下载手机软件,不安装来自不明来源的应用安装提醒

( 3 )建议不要安装非可信渠道的应用和点击可疑的URL链接。

( 4 )建议及时对设备系统进行安全更新。

(5 )经常使用腾讯手机管家等安全软件对手机进行安全检测,移除存在安全风险的应用.

(6 )养成良好的安全使用手机的习惯.

* 本文作者:腾讯手机管家,转载注明来自FreeBuf.COM

近期,依托腾讯安全大数据,腾讯安全反诈骗实验室自研的TRP-AI反病毒智能引擎捕获到某色情病毒家族存在流量异常行为,腾讯安全研究人员研究发现,该色情病毒家族集成了一个名为 “隐流者”的应用刷单病毒,该病毒家族将自身植入到支付插件中,然后利用混淆,关键信息加密,核心代码剥离,恶意代码分多次下载等技术手段来绕过传统病毒引擎查杀。

腾讯安全研究人员指出隐流者病毒家族除了隐蔽性极强的特性之外,其隐匿于用户量极大的色情和游戏进行传播可以持续获取到足够的流量来布局刷量变现平台.该病将真实用户设备改造成后门刷量客户端,然后通过云端控制的方式让中招用户完成应用市场刷量任务。

根据对隐流者病毒完善的刷榜流程,安全研究人员其主要存在以下风险:

1、应用市场平台的生态安全:隐流者病毒可以绕过应用市场的虚假设备检测功能,实现对应用的快速刷取排名,影响应用市场排名的公平性;

2、应用开发者的营销损失:其可以针对竞争对手进行虚假下载攻击,应用开发者投入的大量市场推广费用最终换来的可能是虚假用户。

一 、该家族病毒主要危害

1、模拟刷榜功能

逆向分析各大手机应用市场搜索协议,利用中招设备发送模拟搜索请求,接着解析返回数据获取指定应用信息,进行应用下载安装的操作,最终完成指定应用的刷榜的行为.该功能还可用户打击竞争对手的应用,快速消耗竞品的广告费用.

疑似可能被刷榜的部分应用

(疑似可能被刷榜的部分应用)

2  欺诈扣费功能

勾起用户的欲望,自动订阅各种短信收费服务.。

“隐流者”:批量薅羊毛的应用市场“刷单”高手

二、该家族的传播方式

  “隐流者”将后门代码植入到名为cmnpay的恶意支付插件中,任何使用该支付插件的应用都可执行相应的恶意代码.目前该恶意支付插件主要的使用者是色情刚需应用和部分的游戏应用.

 “隐流者”:批量薅羊毛的应用市场“刷单”高手

“隐流者”:批量薅羊毛的应用市场“刷单”高手

三 、病毒样本的攻击流程

1 使用支付SDK的应用会主动将其加载起来

“隐流者”:批量薅羊毛的应用市场“刷单”高手  

2 恶意代码执行流程

“隐流者”:批量薅羊毛的应用市场“刷单”高手  

3 隐流者详细分析过程

3.1 GeneralService.onStart方法,等待一段时间后,初始化各种插件 

“隐流者”:批量薅羊毛的应用市场“刷单”高手

3.2初始化插件的过程中,com.XYfNRjplXNf.a.c$1的run()方法会链接云端服务器,下载云端配置文件,解密以后获取到相应dex子包的下载地址 

“隐流者”:批量薅羊毛的应用市场“刷单”高手

根据抓包分析,服务器域名为suann***n.com,下载插件的网络数据如下所示:

“隐流者”:批量薅羊毛的应用市场“刷单”高手

3.3 其中配置为sdk_pp的dex子包sdk_mod2会进一步从云端下载刷量相关的几个子包

“隐流者”:批量薅羊毛的应用市场“刷单”高手

4 隐流者核心模块的工作原理

4.1 恶意子包p_ste_1根据云端下发的配置信息针对应用市场进行应用搜索和下载刷量的行为。

4.1.1 解析云端的配置信息

“隐流者”:批量薅羊毛的应用市场“刷单”高手    

4.1.2 针对不同的市场进行操作,几乎涵盖国内各大应用市场 

“隐流者”:批量薅羊毛的应用市场“刷单”高手

4.1.3 抽象定义的基类,按照热词搜索应用、下载应用等刷量行为 

“隐流者”:批量薅羊毛的应用市场“刷单”高手

4.2 通过逆向各个应用市场相关API接口,根据应用市场的不同实现不同的刷量逻辑,模拟相关网络请求,解析返回数据,最终实现刷量的目标 

“隐流者”:批量薅羊毛的应用市场“刷单”高手

4.2.1 某应用市场实现案例

(1) 伪造搜索请求,根据关键字获取搜索结果

“隐流者”:批量薅羊毛的应用市场“刷单”高手“隐流者”:批量薅羊毛的应用市场“刷单”高手

 (应用市场返回的搜索接口数据)

(2) 伪造请求,获取相关应用的详细信息  

“隐流者”:批量薅羊毛的应用市场“刷单”高手

“隐流者”:批量薅羊毛的应用市场“刷单”高手

(3) 伪造下载请求请求 

“隐流者”:批量薅羊毛的应用市场“刷单”高手

四、溯源信息

通过对隐流者的相关信息溯源发现,该幕后黑手是位于深圳的厂商

“隐流者”:批量薅羊毛的应用市场“刷单”高手

 

五、查杀和防御

1 应用厂商防御建议

对应用市场API进行鉴权操作,仅允许官方应用进行访问,避免API接口被滥用

建立应用市场增长应用监控机制,避免大规模刷榜行为

与安全厂商进行合作打通安全情报,通过合作发现打击刷榜行为

2 用户查杀防御建议

安装手机防护软件即可查杀防御该病毒家族

*本文作者:腾讯手机管家,转载请注明来自 FreeBuf.COM

概述

Google在Android2.2 (API level 8)新增了名为DevicePolicyManager的接口,可以帮助用户实现对手机安全管理和远程操作,如锁定屏幕、恢复出厂设置、清空手机上所有数据、远程修改屏幕密码等操作。

1.png

2.png

DevicePolicyManager开发的初衷是为了帮助用户解决手机丢失的数据泄露问题,基于该功能的手机找回功能已经成为各大安卓手机厂商的标配,很悲催的是,一个正规的功能在黑产的手中马上就变成了一种”商业模式”,根据腾讯安全反诈骗实验室大数据显示:

包含设备管理器(DevicePolicyManager)权限样本中,病毒比例竟然高达63%。

恶意利用设备管理器权限地域分布趋势主要分布在:中国,印尼,马来西亚,印度,菲律宾,美国,巴西。

滥用设备管理器权限病毒类型主要以:银行支付类木马、勒索类病毒、社工诈骗类病毒、隐私窃取类病毒、虚假游戏外挂类病毒等。

恶意利用设备管理器的病毒家族新增样本主要有三个类型:支付类病毒、置顶勒索病毒和资费消耗病毒为主,占比分别为:35.62%、32.06%和29.38%。

2017年度恶意利用设备管理器病毒类型分布占比:流氓行为病毒和隐私窃取病毒为主,占比分别为:39.83%和25.30%

流氓行为病毒类型中占比为主的病毒种类为:置顶勒索病毒占比36.92%

隐私窃取病毒类型中占比为主的病毒种类为:支付类病毒占比24.62

1000-1999元价位的手机用户最容易遭受设备管理器类病毒攻击,其中毒率高达48%。

恶意利用设备管理器权限技术特点

恶意利用范围包含漏洞木马、植入“拦截码”模块、植入挖矿模块、置顶勒索模块、结合社工诈骗仿冒公检法等手法衍生出复合攻击型变种病毒

3.png

含有设备管理器权限安全样本和病毒样本比例分布

含有设备管理器权限样本中,病毒比例高达63%

病毒类型主要有: 银行/支付类木马、置顶勒索类病毒、社工诈骗类病毒、隐私窃取类病毒、游戏外挂类病毒等

恶意利用设备管理器权限地域分布趋势

地域主要分布在:中国,印尼,马来西亚,印度,菲律宾,美国,巴西。

4.png

恶意利用设备管理器病毒新增样本趋势

病毒类型以:支付类病毒、置顶勒索病毒和资费消耗病毒为主,占比分别为:35.62%、32.06%和29.38%

5.png

2017年年度恶意利用设备管理器病毒类型分布占比

流氓行为病毒类型中占比最高的病毒种类为:置顶勒索病毒,占比36.92%

隐私窃取病毒类型中占比最高的病毒种类为:支付类病毒,占比24.62%

6.png

恶意利用设备管理器病毒家族TOP 50榜单

恶意利用病毒家族主要是:支付类病毒、置顶勒索病毒和资费消耗病毒为主

7.png

Android系统设备管理器变化趋势

8.png

设备管理器权限病毒机型中毒占比

TOP机型中1000-1999元区间手机用户容易遭受设备管理器权限病毒攻击,占比:48%

9.png

设备管理器权限被植入恶意代码危害衍生趋势

用户点击取消激活的时候跳转到其他界面阻止取消激活设备管理器

10.png

11.png

流氓申请激活设备管理器权限,连续频繁弹出窗口,直至用户点击激活

12.png

13.png

当用户取消设备管理器时,会马上锁定受感染设备屏幕,致使用户无法正常使用设备。

14.png

植入挖矿模块,运行后执行挖矿进程并一直持续下去,直到设备电量耗尽为止,当用户取消设备管理器时,关闭设备屏幕5-10秒,致使用户无法正常使用设备

15.png

15(1).png

植入拦截码病毒模块,诱导用户激活设备管理器通过隐藏后台潜伏在用户手机,拦截用户资金短信,窃取通讯录,通话记录等信息

16.png

17.png

植入置顶勒索病毒模块,当用户取消设备管理器时自动激活置顶勒索病毒模块,强制将自身界面置于设备屏幕上方,致使用户无法正常使用设备,并以支付解锁对用户进行勒索。

18.png

19.png

仿冒公检法植入置顶勒索病毒模块,当用户取消设备管理器时强制将自身界面置于设备屏幕上方,致使用户无法正常使用设备,并且弹窗提示用户,取消设备管理器,将重置手机数据。

20.png

21.png

诱导激活设备管理器阻止正常卸载,具备禁用USB功能,用户无法通过adb调试卸载。

22.png

DisallowUseUsb函数关闭USB的ADB调试和文件传输功能,禁用sub接口 

23.png

设备管理器清理方案:

无ROOT权限清除方案:

* 使用adb命令行 “am force-stop  包名”可以强制关闭应用

* 使用手机管家查杀后即可查杀卸载病毒

24.png

安全建议

(1) 谨慎下载安装各类破解以及盗版应用,如破解的游戏等

(2) 建议从官方网站或正规应用市场下载安装应用,可以最大限度的保证下载应用的安全性 

(3) 安装腾讯手机管家等安全软件对手机进行安全检测,开启病毒库的自动更新服务(务必开启云查杀功能),第一时间拦截存在安全风险的应用安装

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

一.简述

“银行拦截木马”病毒是一种精准钓鱼,窃取用户银行账户的病毒木马,涉案金额过亿。犯罪分子通过社会工程学手段获取到受害者的银行卡帐号密码,病毒木马伪装成银行应用、系统应用、照片等方式诱导受害者进行安装,通过隐藏图标潜伏在用户手机,激活设备管理器导致无法卸载,最后通过监控手机的银行短信验证码,实现窃取用户银行卡里的金钱。根据腾讯安全反诈骗实验室大数据显示,“银行拦截木马”主要分布在东南亚国家中:缅甸,马来西亚,日本,俄罗斯,尼日利亚,印尼。

二.海外支付类病毒隐私收集方式、

* C&C服务器上传方式:伪装正常应用,使用虚假通知或者钓鱼页面诱导用户点击链接,窃取用户银行卡账号,银行密码,并且拦截短信,窃取通讯录,照片,GPS位置信息发送到远程服务器

* STMP邮箱发送方式:通过隐藏后台潜伏在用户手机,拦截用户资金短信,窃取通讯录,通话记录,照片等以邮件方式发送

三.海外支付类病毒技术特点

* 涉及敏感权限包括:短信读写权限、通讯录读取权限、打电话权限;并且注册大量的广播事件,实时监控受害用户手机

* 钓鱼页面技术:C&C服务器云端下发展示内容伪造银行系统或社交网络登录,窃取用户隐私信息

* 监控应用:上传用户手机中的银行软件,防病毒软件,社交软件,加密货币应用

* 植入多个功能模块:银行木码中植入置顶勒索病毒模块,当用户卸载时激活勒索模块

* 反分析技术:加壳,反仿真,加密,混淆等其他规避技术增加检测难度

1.png

四.“银行拦截木”申请的敏感权限

申请敏感权限包括:短信读写权限、通讯录读取权限、打电话权限;并且注册大量的广播事件,实时监控受害用户手机

2.png

五.“银行拦截木”使用技术点

 

3.png

六. BankBot家族版本变化衍生

随着时间变化,基于社会工程学诈骗BankBot家族功能越来越丰富对抗成不断增加

4.png

七.“银行拦截木”仿冒软件名Top 20榜单

通常会伪装成各种正常的软件例如:相册、社交软件、杀毒软件、相册等

5.png

八.“银行拦截木”地域分布趋势

主要分布在东南亚国家中:缅甸,马来西亚,日本,俄罗斯,尼日利亚,印尼,其中东南亚国家是近几年国内电信网络诈骗作案人员藏身之地。

6.png

九.“银行拦截木”技术点:

9.1 接受C&C服务器指令:

当用户手机设备接受到C&C服务器指令做指定操作上传信息(上传短信,通讯录,照片,GPS位置信息等)

7.png

9.2  劫持或者覆盖窗口、虚假“钓鱼”窗口

弹出警告虚假通知(标题:“紧急消息!”;“确认您的帐户”)诱导用户点击链接,进入钓鱼页面

虚假通知被翻译出七种语言(俄语,英语,土耳其语,德语,意大利语,法语,乌克兰语)

8.png

9.3  拦截资金验证码短信

9.png

9.4 植入置顶勒索病毒模块,当用户取消设备管理器时自动激活置顶勒索病毒模块,强制将自身界面置于设备屏幕上方,致使用户无法正常使用设备,并以支付解锁对用户进行勒索。

10.png

11.png

9.5 流氓申请激活设备管理器权限,连续频繁弹出窗口,直至用户点击激活

12.png

13.png

9.6 检测用户移动设备上安装的银行软件,防病毒软件,社交软件,加密货币应用发送到远程服务器,为后续仿冒应用推出新型病毒

14.png

十.设备管理器清理方案:

无ROOT权限清除方案:

* 使用adb命令行 “am  force-stop   包名”可以强制关闭应用

*使用手机管家查杀后即可查杀卸载病毒

15.png

十一.安全建议

(1) 谨慎下载安装各类破解以及盗版应用,如破解的游戏等

(2) 建议从官方网站或正规应用市场下载安装应用,可以最大限度的保证下载应用的安全性 

(3) 安装使用腾讯手机管家等安全软件对手机进行安全检测,开启病毒库的自动更新服务(务必开启云查杀功能),第一时间拦截存在安全风险的应用安装

“银行拦截木”攻击目标银行类和支付系统,加密货币软件,社交软件,防病毒软件以下是详细列表:

银行应用和支付系统

*Sbe*******Online – ru.**********mobile;

*Sbe*******iness Online – ru. **********_sbbol;

*Al****Bank – ru.al**********.android;

* A****Business– ru.al**********do.amc;

*Visa*****Wallet – r****w;

* R******mobilebank – ru.ra**********news;

*Ti***ff – com.id**********.android;

*Pa***al – com.pay**********mobile;

*Web***** Keeper – com.**********.my;

*RO****Online – ru.ro**********oid;

* V****Online– ru.vtb24. **********.android;

* M****Bank– ru.si**********d.ui;

*Ya****Money: online payments – ru. **********money;

*Sberbank******ERBANK – ua.com.cs**********droid.sbrf;

*Pr****t24 – ua. **********.ap24;

*Ru*********mobile bank – ru.si**********bbank;

* U***NK- financial supermarket – com. *****ksu;

*Id*****Bank – com.a**********bank;

* I**O– pl.**********iko;

*Ba***SMS – com**********ms;

* O****Smart– ua.com.cs.**********android.otp;

* V******(Ukraine)– ua.v**********droid;

*Osc*****24/7 – ua.os**********line;

*Pla******Bank – com.tr**********atinum;

*Un******Mobile – hr.ass**********a.mUCI.ua;

*Raiff******Online – ua.pent**********production;

*Uk******bank – com.ukr**********CardM;

*St****Mobile – com.cofor**********android;

*Ch****Mobile – com. **********roid;

*Bank******Mobile Banking – com. ********.bofa;

*We*******Mobile – com.w**********mobile;

*TD*******tional – com.ws**********.tddii;

*TD*******Trading – com. **********t.trader;

*Ak*****Direkt – com.ak**************_direkt;

*Ya*******Mobil Bankacılık – com. *****.android;

* Ç*******OR – com. *********iscek;

*JS*****BANK – com. **********.iscep;

* İ******ep –com. ********iscep;

* İ******et –com. *********isbankasi.

加密货币应用

*Bi****nex – bitf*********app;

*Bi****nium – veke*********rtex

*Bit*******Widget – brot*********dget;

*Bitcoin/**********ticker – master*********action;

*Fl*******idget – leowa**********oinsw;

*Bit*******Price – ozgu************ice;

*Cry*******Prices All-in-One – coinp**********ges;

*Block*****in – Bitcoin & Ether Wallet – block******droid;

*Block*******Merchant – block*********chant;

*WU*******paid – hyper************repaid;

* B*******com– Bitcoin Wallet – block********wallet;

* B*******FARI– Free Bitcoin – claimy*************fari;

*Bit*******IQ – hand*************riceiq;

*Bit*******allet – schil*************let;

*Block*******Bitcoin / Altcoin App – block***********folio;

*Bit*******Freewallet – org. ***********app;

*Bit*******Crane – bit************.money;

*Bit*******MarketCap.com (unofficial) / Altcoin – coin************app;

*coinpay**************sapp (CoinPayments)

*Bit************Freewallet – org. ************.app;

*Coin*******Capp – Blockchain Cryptocurrencies – cenc***********tcapp;

*Cry*******Story – Cryptocurrency Portfolio – benzne*************story;

*Dogecoin Wallet – lang************let.

社交应用

Wh******App- com.********sapp;

P******Store– com.**************ding;

Me******ger– com.**********orca;

F*******ok– com.**************katana;

Y*****be– com.**************youtube;

U***er– com**********cab;

V*****er– com***********voip;

Sn*******at– com************android;

In*******am– com***********android;

i**o– com**************imoim;

Tw*****r– com.**********android.

防病毒应用

*Anti*******Light – com *********web;

* C**********AntiVirus– com.**********security;

*Kas**********Security – com.**********.free;

*ES**********Antivirus – com.*********.ems;

*Avast**********Antivirus – com.**********security;

*Clean**********Antivirus – com. **********.mguard;

*36**********Antivirus – com. **********.security;

*AV**********Android – com.********virus;

*Anti**********Cleaner – com.**********tivirus;

*Sup**********Antivirus – com.**********.master;

*Andro**********Android 2017 – com.**********.free;

*Trust**********Mobile Security – com.**********.security;

*Sop**********Security – com.**********.smse.

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM

一.简述

“银行拦截木马”病毒是一种精准钓鱼,窃取用户银行账户的病毒木马,涉案金额过亿。犯罪分子通过社会工程学手段获取到受害者的银行卡帐号密码,病毒木马伪装成银行应用、系统应用、照片等方式诱导受害者进行安装,通过隐藏图标潜伏在用户手机,激活设备管理器导致无法卸载,最后通过监控手机的银行短信验证码,实现窃取用户银行卡里的金钱。根据腾讯安全反诈骗实验室大数据显示,“银行拦截木马”主要分布在东南亚国家中:缅甸,马来西亚,日本,俄罗斯,尼日利亚,印尼。

二.海外支付类病毒隐私收集方式

* C&C服务器上传方式:伪装正常应用,使用虚假通知或者钓鱼页面诱导用户点击链接,窃取用户银行卡账号,银行密码,并且拦截短信,窃取通讯录,照片,GPS位置信息发送到远程服务器

* STMP邮箱发送方式:通过隐藏后台潜伏在用户手机,拦截用户资金短信,窃取通讯录,通话记录,照片等以邮件方式发送

三.海外支付类病毒技术特点

* 涉及敏感权限包括:短信读写权限、通讯录读取权限、打电话权限;并且注册大量的广播事件,实时监控受害用户手机

* 钓鱼页面技术:C&C服务器云端下发展示内容伪造银行系统或社交网络登录,窃取用户隐私信息

* 监控应用:上传用户手机中的银行软件,防病毒软件,社交软件,加密货币应用

* 植入多个功能模块:银行木码中植入置顶勒索病毒模块,当用户卸载时激活勒索模块

* 反分析技术:加壳,反仿真,加密,混淆等其他规避技术增加检测难度

1.png

四.“银行拦截木”申请的敏感权限

申请敏感权限包括:短信读写权限、通讯录读取权限、打电话权限;并且注册大量的广播事件,实时监控受害用户手机

2.png

五.“银行拦截木”使用技术点

 

3.png

六. BankBot家族版本变化衍生

随着时间变化,基于社会工程学诈骗BankBot家族功能越来越丰富对抗成不断增加

4.png

七.“银行拦截木”仿冒软件名Top 20榜单

通常会伪装成各种正常的软件例如:相册、社交软件、杀毒软件、相册等

5.png

八.“银行拦截木”地域分布趋势

主要分布在东南亚国家中:缅甸,马来西亚,日本,俄罗斯,尼日利亚,印尼,其中东南亚国家是近几年国内电信网络诈骗作案人员藏身之地。

6.png

九.“银行拦截木”技术点:

9.1 接受C&C服务器指令:

当用户手机设备接受到C&C服务器指令做指定操作上传信息(上传短信,通讯录,照片,GPS位置信息等)

7.png

9.2  劫持或者覆盖窗口、虚假“钓鱼”窗口

弹出警告虚假通知(标题:“紧急消息!”;“确认您的帐户”)诱导用户点击链接,进入钓鱼页面

虚假通知被翻译出七种语言(俄语,英语,土耳其语,德语,意大利语,法语,乌克兰语)

8.png

9.3  拦截资金验证码短信

9.png

9.4 植入置顶勒索病毒模块,当用户取消设备管理器时自动激活置顶勒索病毒模块,强制将自身界面置于设备屏幕上方,致使用户无法正常使用设备,并以支付解锁对用户进行勒索。

10.png

11.png

9.5 流氓申请激活设备管理器权限,连续频繁弹出窗口,直至用户点击激活

12.png

13.png

9.6 检测用户移动设备上安装的银行软件,防病毒软件,社交软件,加密货币应用发送到远程服务器,为后续仿冒应用推出新型病毒

14.png

十.设备管理器清理方案:

无ROOT权限清除方案:

* 使用adb命令行 “am  force-stop   包名”可以强制关闭应用

*使用手机管家查杀后即可查杀卸载病毒

15.png

十一.安全建议

(1) 谨慎下载安装各类破解以及盗版应用,如破解的游戏等

(2) 建议从官方网站或正规应用市场下载安装应用,可以最大限度的保证下载应用的安全性 

(3) 安装使用腾讯手机管家等安全软件对手机进行安全检测,开启病毒库的自动更新服务(务必开启云查杀功能),第一时间拦截存在安全风险的应用安装

“银行拦截木”攻击目标银行类和支付系统,加密货币软件,社交软件,防病毒软件以下是详细列表:

银行应用和支付系统

*Sbe*******Online – ru.**********mobile;

*Sbe*******iness Online – ru. **********_sbbol;

*Al****Bank – ru.al**********.android;

* A****Business– ru.al**********do.amc;

*Visa*****Wallet – r****w;

* R******mobilebank – ru.ra**********news;

*Ti***ff – com.id**********.android;

*Pa***al – com.pay**********mobile;

*Web***** Keeper – com.**********.my;

*RO****Online – ru.ro**********oid;

* V****Online– ru.vtb24. **********.android;

* M****Bank– ru.si**********d.ui;

*Ya****Money: online payments – ru. **********money;

*Sberbank******ERBANK – ua.com.cs**********droid.sbrf;

*Pr****t24 – ua. **********.ap24;

*Ru*********mobile bank – ru.si**********bbank;

* U***NK- financial supermarket – com. *****ksu;

*Id*****Bank – com.a**********bank;

* I**O– pl.**********iko;

*Ba***SMS – com**********ms;

* O****Smart– ua.com.cs.**********android.otp;

* V******(Ukraine)– ua.v**********droid;

*Osc*****24/7 – ua.os**********line;

*Pla******Bank – com.tr**********atinum;

*Un******Mobile – hr.ass**********a.mUCI.ua;

*Raiff******Online – ua.pent**********production;

*Uk******bank – com.ukr**********CardM;

*St****Mobile – com.cofor**********android;

*Ch****Mobile – com. **********roid;

*Bank******Mobile Banking – com. ********.bofa;

*We*******Mobile – com.w**********mobile;

*TD*******tional – com.ws**********.tddii;

*TD*******Trading – com. **********t.trader;

*Ak*****Direkt – com.ak**************_direkt;

*Ya*******Mobil Bankacılık – com. *****.android;

* Ç*******OR – com. *********iscek;

*JS*****BANK – com. **********.iscep;

* İ******ep –com. ********iscep;

* İ******et –com. *********isbankasi.

加密货币应用

*Bi****nex – bitf*********app;

*Bi****nium – veke*********rtex

*Bit*******Widget – brot*********dget;

*Bitcoin/**********ticker – master*********action;

*Fl*******idget – leowa**********oinsw;

*Bit*******Price – ozgu************ice;

*Cry*******Prices All-in-One – coinp**********ges;

*Block*****in – Bitcoin & Ether Wallet – block******droid;

*Block*******Merchant – block*********chant;

*WU*******paid – hyper************repaid;

* B*******com– Bitcoin Wallet – block********wallet;

* B*******FARI– Free Bitcoin – claimy*************fari;

*Bit*******IQ – hand*************riceiq;

*Bit*******allet – schil*************let;

*Block*******Bitcoin / Altcoin App – block***********folio;

*Bit*******Freewallet – org. ***********app;

*Bit*******Crane – bit************.money;

*Bit*******MarketCap.com (unofficial) / Altcoin – coin************app;

*coinpay**************sapp (CoinPayments)

*Bit************Freewallet – org. ************.app;

*Coin*******Capp – Blockchain Cryptocurrencies – cenc***********tcapp;

*Cry*******Story – Cryptocurrency Portfolio – benzne*************story;

*Dogecoin Wallet – lang************let.

社交应用

Wh******App- com.********sapp;

P******Store– com.**************ding;

Me******ger– com.**********orca;

F*******ok– com.**************katana;

Y*****be– com.**************youtube;

U***er– com**********cab;

V*****er– com***********voip;

Sn*******at– com************android;

In*******am– com***********android;

i**o– com**************imoim;

Tw*****r– com.**********android.

防病毒应用

*Anti*******Light – com *********web;

* C**********AntiVirus– com.**********security;

*Kas**********Security – com.**********.free;

*ES**********Antivirus – com.*********.ems;

*Avast**********Antivirus – com.**********security;

*Clean**********Antivirus – com. **********.mguard;

*36**********Antivirus – com. **********.security;

*AV**********Android – com.********virus;

*Anti**********Cleaner – com.**********tivirus;

*Sup**********Antivirus – com.**********.master;

*Andro**********Android 2017 – com.**********.free;

*Trust**********Mobile Security – com.**********.security;

*Sop**********Security – com.**********.smse.

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM